使用免费ssl证书是否存在技术缺陷？

Question

注这个问题是相关的，但这个是关于免费SSL证书的。

有些供应商提供完全免费的入门级SSL证书(如StartSSL)。我想知道，它们在技术上是否与付费的(至少在入门级的SSL证书，如RapidSSL和PositiveSSL)相同？我理解扩展/组织SSL是一个不同的类别，但是如果您只需要入门级SSL证书，那么免费的SSL证书在技术上是否与付费入门级变体相同？

此外，如果它们在技术上是一样的，你为什么要为免费的东西付费呢？

Answer 1

在字节级别上，X.509是X.509，没有理由说明免费SSL证书比非免费证书更好或更糟--没有代价写在证书中。任何证书提供程序都可以摸索证书生成，不管他是否获得了报酬。

证书的硬部分在它之外:它在相关的过程中，即管理证书的一切就绪:密钥持有人如何被CA认证，如何触发撤销和相应的信息传播，CA提供什么样的法律保证，它的保险级别，它的连续性计划.

对于证书购买者来说，特定CA中的大值是CA成功放置根键(浏览器、操作系统.)的地方。供应商(微软，Mozilla.)在接受将CA根密钥包含在他们的产品中之前，往往需要CA提供相当多的管理和法律方面的东西，而这些东西并不是免费的。因此，可以将根密钥分发但免费发布证书的CA具有可疑的业务计划。这就是为什么免费证书经销商也提供一些额外特征的付费证书(持续时间更长的证书、通配符名称的证书、额外的身份验证过程.)：在某个时候，CA运营商必须有一个流入的现金流。但是，最终，这是CA问题，不是你的问题。如果他们愿意免费提供证书，而微软也不介意将他们的根密钥作为“默认信任密钥”，那么在使用这些证书时就没有问题。

编辑:现在有了让我们加密，它是一个被主流浏览器接受的免费CA。他们的商业计划并不可疑--事实上，他们根本没有商业计划。他们作为一个非营利实体运作，他们靠捐赠为生。他们找到了一个不错的利基:他们得到了主要浏览器供应商的支持，他们发起了一场打击非HTTPS网络的运动，并需要一个免费的证书颁发机构来说服小网站管理员进行切换；而现在，任何浏览器供应商都不可能离开，因为这会让他们在安全问题上显得自满。

Answer 2

主要的技术缺点是，如果一个免费的CA没有被浏览器或操作系统制造商广泛接受，那么它们生成的证书也可能不可信。此外，如果CA中有任何导致其根证书无效的问题，那么您可以处理问题。也就是说，您可能会遇到与任何CA相同的问题，这并不一定是一个直接的技术问题。

Answer 3

使用任何免费SSL证书没有技术上的缺点。SSL技术和协议确保了客户端和服务器之间的握手能够生成健壮和安全的会话密钥，以防止在中间攻击中欺骗数据和人工。您需要确保您的免费SSL提供程序使用OCSP或CRL提供实时证书状态。

如果您能够以任何方式或介质告诉最终用户信任SSL证书，那么一切都应该是好的。