我们希望购买一些 SSL 证书来保护电子商务网站的登录页面。实际支付过程不需要使用 SSL 证书,因为第三方拥有自己的 verisign 证书,可以保护支付过程。 rapidSSL 看起来是个不错的选择(而且便宜),但销售人员告诉我,它们只适用于“测试网站”,并建议我们使用价格高出 4 倍的证书。有人能就我们应该寻找什么以及应该考虑什么提出建议吗?
谢谢。
答案1
不管销售人员怎么说,证书客观上都差不多关于加密。它们都支持“足够好”的加密,这实际上主要取决于 Web 服务器的配置,也在一定程度上取决于浏览器的功能。几年前,美国解除了对出口强加密的禁令,因此,如果服务器提出要求,如今几乎所有浏览器都支持 128 位 Twofish 或 AES 加密。(令人惊讶的是,由于系统管理员的无知或为了降低服务器的 CPU 负载,许多服务器仍然使用 56 位 DES、RC4 或其他较弱的方案。)
长链式证书信任关系问题也基本消失。如今,大多数浏览器都预装了一套相当完整的受信任 CA。打开浏览器证书 UI 查看您的证书(Firefox 3:工具 > 选项 > 高级 > 加密 > 查看证书)。
有时您会发现促销活动,经销商以约 20 美元左右的价格提供 Comodo、Digicert 或类似的证书。
您的网站在客户中激发的“信任”程度可能是一个考虑因素。可以说,Verisign 网站印章和兼容浏览器中的绿色扩展验证栏比使用 GoDaddy 证书的简单 128 位加密更好。很难说,这在很大程度上取决于您的用户人口统计、年龄、计算机素养等。
有一点:保持 DNS Whois 信息的准确性是有益的,因为它是 CA 在颁发证书之前验证您的重要部分。我认为从您已经与之有业务往来的人(例如您的网络托管商/DNS 注册商)那里获取证书比通过 Comodo、Thawte 等进行验证要容易得多。
因此,我的建议是评估您的用户,以及网站印章上更“值得信赖”的品牌是否会创造更多销售。然后执行以下操作之一:
- 从经销商/DNS 注册商/任何您已有帐户的人那里获取最便宜的 128 位证书。也许可以简单调查一下谁签署了证书,以及根 CA 是什么,但除非这是一个相当模糊的 CA 链,否则不要太担心。
- 获取 Verisign 或类似的知名(且价格昂贵)SSL 证书,这些证书具有良好的品牌价值,并在显眼位置显示其网站印章。考虑获取扩展验证证书。
这 ”扩展验证“在我看来,证书确实增加了一些价值,因为浏览器可以通过绿色地址栏、显眼的公司名称等直观地向用户保证一切正常。不幸的是,这些证书也很昂贵,而且验证起来也比较烦人。
答案2
我完全理解您的困惑,因为这是一个有点令人困惑的领域。正如其他人在这里所说的那样,通常证书就是证书,提供相同级别的保护,对最终用户来说看起来也一样。但是,它们还是有区别的,主要是在验证级别方面。
验证级别
验证有三个基本级别:仅域名、域名和企业以及域名企业和代表身份。仔细想想,仅域名的验证实际上是一种相当弱的验证,它无法证明您就是您所说的那个人,也无法证明您有权使用该品牌。然而,对于大多数最终用户来说,他们不会知道其中的区别,他们会看到锁定的图标。域名和企业是通常提供的,它们通常需要一些简单的东西,比如公司信用卡,来验证您就是相关企业。
扩展验证是一项新标准,要求 CA 采取额外步骤来验证您的真实身份以及您是否是允许以该名称进行交易的法人实体。请参阅维基百科的条目了解更多详情。在 Firefox 中,EV 证书将显示为 URL 本身左侧略微带有公司名称的绿色框。
赔款
如果其他人以欺诈方式使用来自同一 CA 的证书或域名,每个 SSL 提供商都会提供不同的赔偿保险。我认为很少有人真正需要走这条路
跨浏览器覆盖
通常,所有主流 SSL 提供商都会立即在所有主流操作系统上得到支持。有些可能需要您提供中间链包,这可能会很麻烦。
撤销
并非所有 CA 都支持撤销证书的功能 - 令我惊讶的是,当我上次查看时,只有少数 CA 列出了证书撤销 URL。如果您认真考虑安全性,请选择一个有撤销 URL 的 CA。
概括
您的需求听起来很基本也很简单,我建议您购买一些便宜的产品。RapidSSL、InstantSSL、GoDaddy 或任何其他大型公司都可以。
答案3
我获得了通过 www.rapidsslonline.com 购买的 rapidssl 证书。从未遇到过问题。还获得了 godaddy.com 证书,也从未遇到过问题。大多数浏览器都会识别这两者。
除非有特殊需要显示 Verisign 标志或类似的东西,否则 Verisign 等只是浪费金钱。