说一下为什么最好不用自建或免费的SSL证书。
CA机构在签发OV型证书时,会要求网站提交身份资质文件(如企业营业执照、组织机构代码证等),经过人工审核后才会颁发。如果是EV型证书,还会在此基础上追加律师函的审核。
而DV域名型证书,往往通过程序自动匹配申请人或机构信息和所申请的域名信息,只要匹配一致就能获得证书,不需要人工审核,对申请人身份信息真实性、申请机构是否经过合法注册等问题忽视。由于在审核过程中不需要人工,所以DV证书成本很低,可以作为免费证书发放。
但这种不严谨的审核方式,造成黑客只需让申请信息与域名信息一致就能轻松获得证书。免费的DV证书是安全级别最低的SSL证书。随着用户越来越信任已安装SSL证书的网站,黑客也会利用这种信任,通过获得免费证书为自己披上看似可信的外衣。
对此,国内CA机构CFCA中国金融认证中心SSL产品研发负责人表示:在目前免费证书身份验证机制还不完善的情况下,出于对用户、网站自身安全的考量,管理员建站应慎用免费SSL证书,而大型企业或机构网站、尤其涉及用户隐私及金融交易的电商类平台,应优先考虑拥有完整身份验证机制的OV或EV证书。
免费SSL证书无法验证服务器身份,由此引发的潜在威胁较大,建议谨慎采用,在选购付费SSL证书时,应尽量选择权威机构及其合作代理商家(如西部数码和Symantec\GeoTrust均为长期合作伙伴),对一般网站而言,使用一个DV型证书即可,费用仅需8元。
SSL证书购买链接 https://www.west.cn/web/ssl/
