如何决定在哪里购买通配符 SSL 证书？

Question 1

我认为，在决定在哪里购买通配符 SSL 证书时，唯一重要的因素是 SSL 证书第一年的费用，以及卖家网站购买和设置证书的舒适度（即用户体验）。

我知道以下情况：

关于保修的声称（例如 1 万美元、125 万美元）只是营销噱头- 这些保证可以保护特定网站的用户免遭 CA 向欺诈者（例如钓鱼网站）颁发证书的可能性，从而导致用户损失金钱（但是，问问你自己：是否有人在你的欺诈网站上花费/损失 1 万美元或更多？哦，等等，你不是欺诈者？没有意义。）
需要生成2048-bitCSR（证书签名请求) 私钥来激活您的 SSL 证书。根据现代安全标准，不允许使用私钥大小小于 2048 位的 CSR 代码。了解更多这里和这里。
声称99+%、99.3%或99.9%浏览器/设备兼容性。
索赔发行快捷，安装简便。
有退款满意保证真是太好了（通常为 15 和 30 天）。

以下通配符 SSL 证书基础价格（非销售）以及颁发机构和经销商列表于 2018 年 5 月 30 日更新：

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
    $0 | DNSimple / Let's Encrypt *
   $49 | SSL2BUY / AlphaSSL (GlobalSign) *
   $68 | CheapSSLSecurity / PositiveSSL (Comodo) *
   $69 | CheapSSLShop / PositiveSSL (Comodo) *
   $94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
   $95 | sslpoint / AlphaSSL (GlobalSign) *
  $100 | DNSimple / EssentialSSL (Comodo) *
       |
  $150 | AlphaSSL (GlobalSign) *
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

*请注意，DNSimple、sslpoint、Namecheap、CheapSSLShop、CheapSSLSecurity 和 SSL2BUY 是经销商，而不是证书颁发机构。

Namecheap 提供 Comodo/PostiveSSL 和 Comodo/EssentialSSL 两种选择（尽管两者之间没有技术差异，只是品牌/营销 - 我向 Namecheap 和 Comodo 询问了这个问题 - 而 EssentialSSL 的价格要高出几美元（100 美元 vs 94 美元））。DNSimple 转售 Comodo 的 EssentialSSL，从技术上讲，它与 Comodo 的 PositiveSSL 完全相同。

请注意，SSL2BUY、CheapSSLShop、CheapSSLSecurity、Namecheap 和 DNSimple 不仅提供最便宜的通配符 SSL 证书，而且在我查看的所有网站中，它们的营销花招最少；而 DNSimple 似乎没有任何花招。以下是最便宜的 1 年期证书的链接（因为我无法在上面的表格中链接到它们）：

截至 2018 年 3 月让我们加密支持通配符证书. DNSimple 支持 Let's Encrypt 证书。

Answer

我认为，在决定在哪里购买通配符 SSL 证书时，唯一重要的因素是 SSL 证书第一年的费用，以及卖家网站购买和设置证书的舒适度（即用户体验）。

我知道以下情况：

关于保修的声称（例如 1 万美元、125 万美元）只是营销噱头- 这些保证可以保护特定网站的用户免遭 CA 向欺诈者（例如钓鱼网站）颁发证书的可能性，从而导致用户损失金钱（但是，问问你自己：是否有人在你的欺诈网站上花费/损失 1 万美元或更多？哦，等等，你不是欺诈者？没有意义。）
需要生成2048-bitCSR（证书签名请求) 私钥来激活您的 SSL 证书。根据现代安全标准，不允许使用私钥大小小于 2048 位的 CSR 代码。了解更多这里和这里。
声称99+%、99.3%或99.9%浏览器/设备兼容性。
索赔发行快捷，安装简便。
有退款满意保证真是太好了（通常为 15 和 30 天）。

以下通配符 SSL 证书基础价格（非销售）以及颁发机构和经销商列表于 2018 年 5 月 30 日更新：

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
    $0 | DNSimple / Let's Encrypt *
   $49 | SSL2BUY / AlphaSSL (GlobalSign) *
   $68 | CheapSSLSecurity / PositiveSSL (Comodo) *
   $69 | CheapSSLShop / PositiveSSL (Comodo) *
   $94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
   $95 | sslpoint / AlphaSSL (GlobalSign) *
  $100 | DNSimple / EssentialSSL (Comodo) *
       |
  $150 | AlphaSSL (GlobalSign) *
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

*请注意，DNSimple、sslpoint、Namecheap、CheapSSLShop、CheapSSLSecurity 和 SSL2BUY 是经销商，而不是证书颁发机构。

Namecheap 提供 Comodo/PostiveSSL 和 Comodo/EssentialSSL 两种选择（尽管两者之间没有技术差异，只是品牌/营销 - 我向 Namecheap 和 Comodo 询问了这个问题 - 而 EssentialSSL 的价格要高出几美元（100 美元 vs 94 美元））。DNSimple 转售 Comodo 的 EssentialSSL，从技术上讲，它与 Comodo 的 PositiveSSL 完全相同。

请注意，SSL2BUY、CheapSSLShop、CheapSSLSecurity、Namecheap 和 DNSimple 不仅提供最便宜的通配符 SSL 证书，而且在我查看的所有网站中，它们的营销花招最少；而 DNSimple 似乎没有任何花招。以下是最便宜的 1 年期证书的链接（因为我无法在上面的表格中链接到它们）：

截至 2018 年 3 月让我们加密支持通配符证书. DNSimple 支持 Let's Encrypt 证书。

Question 2

另一点需要考虑的是重新颁发证书。

我直到心脏出血漏洞出现了。我以为这意味着他们会给你一份原件证书的第二份，我想知道一个人需要多么混乱才能需要这项服务。但事实证明，这并不意味着：至少有些供应商会很乐意盖章新的公钥只要它发生在原始证书的有效期内。我推测他们会将你的原始证书添加到某个 CRL 中，但这是一件好事。

您想要这样做的原因是您已损坏或丢失了原始私钥，或者通过某种方式失去了对该密钥的独占控制权，当然还因为在 OpenSSL 中发现了一个全球性的漏洞，这很可能使您的私钥被敌方提取。

在心脏出血之后，我认为这绝对是一件好事，现在我会在未来的证书购买中留意它。

Answer

另一点需要考虑的是重新颁发证书。

我直到心脏出血漏洞出现了。我以为这意味着他们会给你一份原件证书的第二份，我想知道一个人需要多么混乱才能需要这项服务。但事实证明，这并不意味着：至少有些供应商会很乐意盖章新的公钥只要它发生在原始证书的有效期内。我推测他们会将你的原始证书添加到某个 CRL 中，但这是一件好事。

您想要这样做的原因是您已损坏或丢失了原始私钥，或者通过某种方式失去了对该密钥的独占控制权，当然还因为在 OpenSSL 中发现了一个全球性的漏洞，这很可能使您的私钥被敌方提取。

在心脏出血之后，我认为这绝对是一件好事，现在我会在未来的证书购买中留意它。

Question 3

虽然价格可能是关键问题，但其他问题是供应商的可信度，浏览器接受并且，根据你的能力水平，支持安装过程（问题比看上去的要大，尤其是当事情出错时）。

值得注意的是，许多提供商都归同一家高端公司所有 - 例如 Thawte 和 Geotrust，我相信 Verisign 都归 Symantec 所有 - 然而，Thawte 证书比 Geotrust 贵得多，没有任何令人信服的理由。

另一个极端是 StartSSL 颁发的证书（我不是在批评他们，我认为他们的模式很酷），它在浏览器中的支持度并不高，可信度也不如大公司。如果你想在你的网站上贴满“安全安慰剂”，有时值得找一家大公司 - 虽然这对通配符证书来说可能比对 EV 证书来说重要得多。

正如其他人指出的那样，另一个区别可能是与证书相关的“一堆垃圾”——我知道我之前被指示获得的 Thawte EV 证书只允许在单服务器而我后来说服管理层用 Geotrust 证书替换它们，后者不仅更便宜，而且没有这个限制——这是 Thawte 完全任意施加的限制。

Answer

虽然价格可能是关键问题，但其他问题是供应商的可信度，浏览器接受并且，根据你的能力水平，支持安装过程（问题比看上去的要大，尤其是当事情出错时）。

值得注意的是，许多提供商都归同一家高端公司所有 - 例如 Thawte 和 Geotrust，我相信 Verisign 都归 Symantec 所有 - 然而，Thawte 证书比 Geotrust 贵得多，没有任何令人信服的理由。

另一个极端是 StartSSL 颁发的证书（我不是在批评他们，我认为他们的模式很酷），它在浏览器中的支持度并不高，可信度也不如大公司。如果你想在你的网站上贴满“安全安慰剂”，有时值得找一家大公司 - 虽然这对通配符证书来说可能比对 EV 证书来说重要得多。

正如其他人指出的那样，另一个区别可能是与证书相关的“一堆垃圾”——我知道我之前被指示获得的 Thawte EV 证书只允许在单服务器而我后来说服管理层用 Geotrust 证书替换它们，后者不仅更便宜，而且没有这个限制——这是 Thawte 完全任意施加的限制。

Question 4

您必须根据您的安全需求选择通配符 SSL 证书。

在购买通配符 SSL 证书之前，您必须了解以下几个因素

品牌声誉和信任度：根据最近的调查W3Techs在 SSL 证书颁发机构方面，Comodo 超越赛门铁克，以 35.4% 的市场份额成为最受信任的 CA。
通配符 SSL 的类型和特点：SSL 证书颁发机构（例如 Symantec、GeoTrust 和 Thawte）提供带业务验证的通配符 SSL 证书。这吸引了更多访客，也增加了客户的信任度。而其他 CA、Comodo 和 RapidSSL 仅提供带域验证的通配符 SSL。

Symantec 的 Wildcard SSL 还提供每日漏洞评估，可扫描每个子域是否存在恶意威胁。

带有业务验证的通配符在 URL 字段中显示组织名称。

SSL 价格：由于赛门铁克提供多种功能以及通配符，因此与 Comodo 和 RapidSSL 相比，其价格较高。

因此，如果您希望通过业务验证来保护您的网站和子域，则必须选择 Symantec、GeoTrust 或 Thawte，而对于域验证，您可以选择 Comodo 或 RapidSSL。如果您希望安装多层安全性并进行每日漏洞评估，则可以使用 Symantec 的 Wildcard 解决方案。

Answer