SSL证书的作用是用于认证网站的身份,以及对服务器与用户之间所传输的数据进行加密。随着互联网的发展和数据安全知识的普及,SSL证书几乎已经成为了网站的标配。
目前市面上主要有两类SSL证书,付费SSL证书和免费SSL证书。一些个人网站或者企业网站的运营者为了节约成本,往往更倾向于选择免费的SSL证书。尽管从通讯协议方面来看,免费SSL证书也可以启用HTTPS加密。然而,免费SSL证书真的适合您吗?
一.免费证书存在随时被吊销的风险
2020年2月29日,免费证书颁发机构(CA) Let’s Encrypt 表示,因为CAA验证出现漏洞,由此签发的300多万张SSL/TLS证书需要在(世界标准时间UTC)3月4日起开始强制吊销。
2022年1月26日,Let's Encrypt又计划撤销约200万个不符合相关政策的HTTPS证书。
不难看出,免费的SSL证书并无完善的相关权益保障,基于验证漏洞的免费SSL证书随时可能被证书颁发机构吊销。而对于免费SSL证书的用户,则可能承担着因证书吊销导致数据泄露,业务中断的巨大风险。
二.免费证书验证级别低,为不法分子窃取信息提供了便利
SSL证书按照验证类型可以分为域名验证(Domain Validation,简称DV)SSL证书、企业验证(Organization Validation,简称OV)SSL证书、增强验证(Extended Validation,简称EV)SSL证书。而市面上提供的免费SSL证书多数为域名验证(Domain Validation,简称DV)SSL证书。
申请此类证书仅验证域名管理权,无需通过人工验证申请组织真实身份。如果身份是虚假的,那安全挂锁和加密又有何意义?免费证书给企业网站留下了巨大的安全隐患和漏洞。不法分子仅需要验证域名的管理权即可轻松获取到免费的SSL证书,从而为自己的网站披上安全可信的外衣,仿冒真实的网站进而获取用户敏感信息就变得轻而易举。
而此时作为网站安全保障的SSL证书却成为了不法分子设立“钓鱼”服务器的助推器。
三.免费SSL证书还存在着验证有效期,技术支持方面等的诸多限制
市面上提供的免费证书验证有效期大多数为1个月或者3个月,而免费证书的提供商并不一定会及时通知到每个使用者。免费证书的用户每1个月或者3个月就要重新申请和更新一次。
此外,免费的SSL证书提供商不会为用户提供全天候的技术和服务支持,用户需要自己完成证书验证,安装工作,对安装后出现的任何问题均需要自己排查和解决。
所以,个人用户和企业用户想要真正确保网站安全,免费的SSL证书并不是最优解。为了保障网站加密传输,维护企业的信誉,应尽可能选择使用OV或者EV证书,而不是免费的DV证书。
选择聚力诚信,涵盖所有市场主流的SSL证书类型和品牌,从SSL证书的申请,验证,安装,证书专家全程在线支持!