首先,要具备发放可信SSL证书的资质,这是一个很大的成本。管理一个Public Trusted的CA是非常昂贵的,不说每年的WebTrust审计、加密机这些配套服务,光机房的安全程度要求之高,就不是一般公司能做到的。此外,还有每年昂贵的证书保险等费用。
其次,在具体颁发证书的时候,众所周知,企业型、增强型证书都是需要经过比较严格的审核,这些过程都要大量的人员参与。当然也有不需要人工审核的DV型SSL证书,不过这种证书用于个人网站即可,正式的企业应用就不要用这种证书了。
CA公司的主要成本构成:审核、验证CSR成本、支持成本、法律成本(保险费用和担保费用等)。全球信任度高的HTTPS(SSL证书)签发机构不超过5家!所以信任度较高的证书,费用都是很高的。
最后,还有一些售后服务的成本,如人工客服、技术支持等。介于这些成本投入,所以ssl证书当然是要收费的。
