为什么我要为SSL证书付费？

Question

我支付了来自Namec堆的SSL证书，我认为它是由ComodoSSL认证的。它花了我7美元，他们花了一周的时间激活，我不得不自己从SSH编辑我的网站的配置文件。

然后，一位朋友让我知道了让我们加密，它不仅提供免费的SSL证书，而且可以通过运行一个命令来安装它们。

我确信我在这里遗漏了一些东西，但是为什么我想要支付一个SSL证书，如果我可以轻松地安装一个，免费的，自动更新设置？

Answer 1

让我们在许多方面进行加密，包括您提到的方法，例如：

1. 这是免费的。很难克服这点。
2. 它具有自动更新功能(不过，我确信这不仅仅是我们加密的专利)。
3. 很容易设置好的。
4. 谷歌和许多其他公司支持它作为一个可信的CA，这是一个巨大的交易，当涉及到SEO和安全。

然而，

有几个缺点.

1. 验证系统的工作，以确保，你，好，拥有的网站，是不兼容的一些网站主机，我有相当大的麻烦，让我们加密工作在InfinityFree和我只是接受命运，我不能做到。
2. 你不会得到任何一种保险，上面写着“如果这件事破裂了，我们会帮你”，因为它是开源的，如果我们加密不起作用，或者被破解了，你就只能靠自己了。

Answer 2

LetsEncrypt证书非常好。我自己用，而不是买证书。有几个缺点：

• LetsEncrypt证书只持续3个月。大多数购买的证书有效期为一到两年。这意味着您绝对需要一个自动的过程来更新您的证书，否则它将太容易忘记。
• LetsEncrypt只提供最低的验证类型的证书。域验证(DV)只验证证书的所有者是否控制域。组织验证(OV)证书还检查要求证书的个人或公司的文件。扩展验证(EV)证书甚至需要进一步检查。你的证书越好，伪造的难度就越大，因此你的网站的真实性就越能被信任。在实践中，浏览器只对EV证书进行视觉上的点头，通常在地址栏中显示绿色的东西。到目前为止，大多数用户并不知道或关心不同的验证级别。
• 从LetsEncrypt获得通配卡证书有点困难。从其他地方来，你通常只需付更多的钱。LetsEncrypt需要对通配符证书进行DNS验证。

从历史上看，安全证书总是要付出一些代价。其他提供免费证书的公司来来去去。我曾经使用StartSSL，它提供了一个单一的域免费证书，直到他们做了一些不透明的事情，浏览器不再信任他们的证书。与以前的免费证书供应商相比，LetsEncrypt的限制要小得多，而且自动化程度要高得多。它也有一些大的支持者，如EFF，Mozilla，Chrome和思科。请看https://letsencrypt.org/sponsors/，它看起来运行得很好，我希望它能运行几年。

Answer 3

并不是所有的东西都可以使用自动更新

CertBot使网站更容易使用.但是，如果您在其他方面使用证书呢？

我们有一个LDAP服务器，我们的网站用它进行身份验证。它运行在一个安全端口上，但它需要一个签名的证书才能运行。我可以有一个免费通配符证书..。但这意味着每3个月将证书转换为PKCS12 (web服务器使用PEM)，然后导入新的证书。哦，我们的网络防火墙也使用PKCS12。免费的麻烦太多了。