虽然老刘有教授过大家免费SSL证书安装过程:《网站启用https:UCloud优刻得免费SSL证书申请与部署流程》,但也有和朋友们建议过尽量使用付费证书:《网站https加密不建议使用免费SSL证书的四大理由》,本文老刘博客为大家推荐一款便宜域名SSL证书:UCloud优刻得TrustAsia域名型(DV)商业版单域名SSL证书,证书具备国内双oscp双节点,一年有效期只要168元。
老刘最近有浏览各家云商上的证书促销活动,阿里云,腾讯云,华为云SSL证书都有一些活动,但性价比不高,看着几百块钱,实际功能和免费证书差不离。无意间留意到UCloud控制台上架了一款便宜的付费SSL证书——TrustAsia域名型(DV)商业版单域名SSL证书,一年有效期只想花费168元。
优刻得TrustAsia域名型(DV)商业版单域名SSL证书购买入口>>
UCloud便宜证书控制台展示
老刘打听到,UCloud优刻得TrustAsia域名型(DV)商业版单域名SSL证书作为付费版本证书,已经在8月19日上架了,用户可以在如图位置选购:
图中可能大家留意到,有一款品牌名DigiCert Secure Site的证书,这个位置之前老刘看到Symantec品牌。咨询了UCloud工作人员,他们说着实际就是Symantec,只是Symantec证书改名了。改名背景:2017年8月2日,CA认证机构DigiCert宣布正式收购 Symantec 安全认证业务。DigiCert于2020年4月30日起,停止使用与赛门铁克(Symantec)相关的营销及品牌行为。原Symantec品牌证书将更名为DigiCert品牌证书。
UCloud便宜证书VS免费证书
TrustAsia域名型(DV)商业版单域名SSL证书 | TrustAsia域名型(DV)免费SSL证书 |
1、商业证书签发渠道,保证签发,人工复核 | 1、20个证书申请额度。不保障一定签发,比如敏感内容网站 |
2、国内OCSP双节点 | 2、免费证书渠道,签发时效性无保障 |
3、享受付费证书全套人工服务 | 3、国内OCSP双节点,不支持人工服务 |
4、具有网站身份验证和加密传输双重功能 | 4、具有网站身份验证和加密传输双重功能 |
5、国际品牌Digicert根证书 | 5、国际品牌Digicert根证书 |
6、最快10分钟签发,验证匹配即签发 | 6、最快10分钟签发 |
关于国内双oscp双节点特性
华为云和阿里云卖的最便宜的单域名证书都是海外OCSP单节点,如这两家云商卖的GeoTrust DV基础版的378元一年的那款。这个节点一挂(被国家防火墙墙了)会影响客户业务。海外的容易被墙,而国内OCSP就没有这个弊端了。OCSP海外单节点影响说明见下:
什么是OCSP?
OCSP (Online Certificate Status Protocol)即在线证书状态协议,是一个互联网协议,用于获取符合X.509标准的数字证书的状态。OCSP是维护服务器和其它网络资源安全性的两种普遍模式之一。OCSP协议的产生是用于在公钥基础设施(PKI)体系中替代证书吊销列表(CRL)来查询数字证书的状态,当用户试图访问一个服务器时,在线证书状态协议发送一个对于证书状态信息的请求。服务器回复一个“有效”、“过期”或“未知”的响应。
OCSP对SSL证书的影响?
基于 CA 的 Public key infrastructure(PKI)需要有及时更新证书吊销情况的机制。 目前的主流方式是 Online Certificate Status Protocol (OCSP)。 即在获取到证书信息时,由浏览器负责向对应的 CA 发起证书吊销状态的查询。
该方式有两个问题:
A: 每个浏览器访问同一网站时,都会向OCSP发起独立的查询,以确认当下证书有效性
B: 只有在 OCSP 查询结果出来后,浏览器才能信任所给的证书。所以OCSP的响应能力会对页面加载时间造成明显影响。
总结:在SSL/TLS握手过程中客户端需要通过OCSP协议校验服务器证书和中级证书的 吊销状态是否正常。客户端会通过每个证书中的OCSP地址向CA的OCSP服务器发送 证书吊销状态查询 并等待OCSP服务器的响应。OCSP响应正常,才会加载页面,如果OCSP响应慢就会影响HTTPS的访问速度。若果OCSP无法响应就会导致数据丢包或者加载失败。
有关域名证书选择相关问题,大家也可以参阅老刘博客《SSL证书应该如何选择?攻略看老刘博客》,《Symantec,GlobalSign/GeoTrust,CFCA/TrustAsia SSL证书应用场景对比》等文章内容。