被问到安装SSL证书能否使用市面上的一些免费版,答案当然是没有问题的,可以使用。实话实说,目前大多是个人的项目或者博客网站,基本前期都是使用的免费版SSL证书。当形成一定规模或者有一定的使用量之后,可能项目的方方面面都需要进行升级,当然也包括使用付费版的SSL证书。目前,越来越多的政务机关和企业网站通过安装付费版本的SSL证书来作为提升网站数据安全的重要手段之一。不过大多中小企业出于成本考虑,往往会选择使用免费的SSL证书来实现网站的HTTPS。
免费的SSL证书有哪几种?由于SSL证书涉及开发、验证、审计以及其他人工成本,所以一般的SSL证书价格都不是很便宜。为了节省成本,市场上出现了两种免费的SSL证书,受到了不少中小企业和个人网站的青睐。一种是自签名证书(详见文章『自签证书可以保护网站安全吗?为什么非CA机构颁发的SSL证书不受信任?』),这种证书不是由受浏览器信赖的CA机构颁发,而是由个人开发签名或者通过某个技术平台生成就能使用。另外,很多证书签发平台为了吸引客户也会签发一些免费的DV证书,例如在很早的时候,就总结了一些免费的申请SSL证书的方法:Typecho个人博客SSL证书不够用的N种免费解决方案。
对于第一种自签名证书,不建议使用。自签名证书不被浏览器所信任,可能会导致用户访问时提示存在风险,造成不好的访问体验。此外,自签名证书有效期比较长,甚至没有明确的生命周期,虽然降低了网站管理人员续签安装的成本,但长时间的证书不更新,使得黑客破解的可能大大增加,SSL证书形同虚设。
对于第二类正规机构颁发的DV证书,我们要根据际情况来看。与自签名证书不同,这些证书是由正规的CA机构颁发的,受浏览器信任,其安全性和可靠性有保证。们可以实现网站数据传输加密的效果,并且还可以在地址栏之中显示一个锁的标志。在这些方面,它与有偿证书没有太大区别。但是,DV证书不具备网站认证功能。由于DV证书是最基本的证书类型,发证机构不会对申请人的信息进行核实,例如之前写了文章『不要仅看到浏览器小锁就信任,一些非法企业网站正在使用免费DV SSL证书』说的就是这个事。
对于有业务的网站,为了数据安全考虑,尽量不要选择免费的SSL证书,尤其是自签名的SSL证书更不可取,对于一些对数据安全要求较高的行业,如政府机关、金融、科研、大型国央企等,尽可能采用付费的OV SSL证书和EV SSL证书。
对于个人博客之类的小网站而言,免费的DV证书也是完全够用的,也是没问题的,当然,尽量还是不要使用自签名证书。
当前国内也有一些国产自主品牌,提供了一些免费版的SSL证书。例如JoySSL,除了教育版SSL证书(免费使用一年)和政务版SSL证书(免费使用一年),别的版本都是一次只能申请90天。特别值得一提的是,永久免费版有通配符证书、多域名证书。这在免费类的SSL证书还是很难得的。
此外,JoySSL在四月份左右会上线自动续签功能,免费版也是支持的。
