如果这是 2010 年,我会建议你购买扩展验证 (EV) SSL 证书。
当时,EV 证书会将地址栏变成绿色,在 URL 栏中显示公司的法定名称,并显示一个可见的挂锁以确认网站的真实性。
但现在已不是 2010 年了。EV SSL 证书早已销声匿迹。
如今,购买 SSL 证书就像买个金马桶一样。结果一样,只是价格要贵得多。
EV证书的实际作用(以及它的重要性)
您现在看到的基本域名验证 (DV) 证书仅验证您控制的域名。任何人都可以获得这些证书。
扩展验证证书需要全面的业务验证。例如,需要提供法律文件、电话记录、地址确认以及公司真实运营的证明。
整个过程可能需要几天甚至几周的时间,并且每一步都需要人工验证。
最终结果是,您的公司名称会显示在浏览器中,就像这个来自 Comodo(一家主要的 SSL 证书提供商)的示例一样。
但正如您现在所见,即使是 Comodo 也没有显示任何 EV SSL 的标记。
是什么让EV SSL证书现在成为一个糟糕的选择?
EV 证书之所以有价值,主要在于其视觉指示。而浏览器是其被移除的驱动力。
EV证书的终结
2015 年之后,SSL 证书成为网站的标准。
挂锁图标更多地是一种期望,而非信任信号。
为了消除冗余,Chrome 在 2018 年移除了绿色 URL 栏,并在 2023 年用音乐图标取代了挂锁图标。Firefox 在 2019 年取消了 EV 指示,其他浏览器也纷纷效仿。
任何没有有效 SSL 证书的网站都会被标记为“不安全”。
用户必须点击“高级”和“继续访问网站(不安全)”才能访问此类网站。
就这样,EV SSL 证书的价值主张荡然无存。然而,你仍然看到一些公司像什么都没发生过一样在销售它们!
浏览器也发现EV证书并无帮助
移除视觉提示并非随意而为,而是经过研究证实的。
在特写截图中,绿色的 URL 栏似乎很有价值。
但当谷歌安全团队研究这项昂贵的验证是否提供了真正的安全优势时,他们发现“EV 证书用户界面并没有像预期的那样保护用户”。
无论 EV 证书指示器是否存在,用户做出的安全决策都不会有所不同。Mozilla 在自己的研究之后也得出了类似的结论。
结论是什么?在 EV 证书上花费的钱并没有转化为更好地抵御实际威胁(例如网络钓鱼或恶意网站)的保护。
大多数用户再也看不到EV证书信息了
Chrome 77 和 Firefox 70 在 2018 年某个时候发布后,最后一点 EV 证书信息也被隐藏了。
公司名称、扩展验证状态、已验证的业务信息——所有内容都显示在“调谐”图标下方,需要用户点击才能查看证书详情。
因此,大多数用户永远看不到那些据称能够证明其高价合理的 EV 详细信息。
证书就是证书——所有证书都提供相同的加密
SSL 证书的作用是加密从访问者浏览器传输到公司服务器的数据。这确保了不法分子无法监视数据。
任何 SSL 证书都可以以相同的方式加密数据。
加密算法完全相同:RSA-2048 用于密钥交换,SHA-256 用于数字签名,AES 用于对称加密。
无论证书颁发机构是哪个,也无论您支付了多少费用,浏览器都会建立完全相同的安全隧道。
无论您使用的是免费的 SSL 证书还是价值 500 美元的扩展验证证书,保护用户数据的实际安全性都是完全相同的。
使用 EV 证书,您只需支付额外的文书工作费用,而不会获得任何额外好处。
2025年及以后,还有什么更好的选择?
Let’s Encrypt 彻底颠覆了 SSL 市场,它使证书免费、自动化,并且与昂贵的替代方案一样安全。现在,每个拥有域名的人都可以获得 SSL 证书。
Let’s Encrypt占据市场主导地位并非偶然
免费域名验证证书提供商 Let’s Encrypt 占据了整个 SSL 证书市场 63% 的份额。其余市场份额则由其他 DV 和 EV SSL 提供商瓜分。
截至 2020 年,该公司已签发超过 10 亿份证书。
现在,Let’s Encrypt 每天签发超过 700 万份新证书。
自动化优于手动流程
SSL 行业出售的证书价格昂贵,且需要耗费数天甚至数周的手动验证流程,而 Let’s Encrypt 则实现了自动化和效率。
ACME 协议允许证书的签发、安装和续订无需人工干预,通常只需几分钟而非数天即可完成。
这种自动化既确保了安全性,又提升了便捷性。SSL 认证机构 (CA) 现在可以使用有效期更短的证书(例如 90 天)。
即使攻击者获得了 CA 的私钥(用于告知浏览器证书有效的密钥),该证书也只能有效 90 天,超过 90 天后将生成新密钥,之前的密钥将被视为无效。
如果 90 天听起来很长,那么 SSL 提供商已经在采取措施进一步缩短证书有效期。
较短的证书有效期使手动验证几乎不可能
SSL 行业正在朝着更短的证书有效期发展。
预计到 2026 年,EV 证书的最大有效期将达到 200 天,到 2027 年将达到 100 天,到 2029 年将达到 47 天。
想象一下,每 47 天就要进行一次 EV 证书的手动验证流程——包括法律文件、电话验证和业务验证。仅管理成本就非常高昂,使其不再值得。
这或许可以解释为什么到 2025 年,只有 21,000 个网站拥有 EV 证书。
域名验证 (DV) 证书通常就是您所需的一切
域名验证证书(无论是免费还是付费)都比昂贵的 EV 证书具有多项优势。
- 相同的加密方式:您的用户获得相同的安全性
- 自动续订:无到期中断风险
- 更快的部署:只需几分钟,无需几天或几周
- 无管理开销:无需文书工作、电话或业务验证
- 面向未来:专为 2029 年即将缩短的证书有效期而设计
Let’s Encrypt 和 CloudFlare 等免费 DV SSL 证书提供与其他证书相同级别的保护。如果您只需要这些,请选择免费证书。
对于需要客户支持、更长有效期以及建立信任的安全封条的大型组织或电子商务企业来说,专业签名的 DV SSL 证书是明智之举。
大公司是否使用 EV 证书?是否真的有人需要它们?
如果 EV 证书对于安全和信任而言确实是必需的,那么大型公司自然会使用它们。
但事实并非如此。
就连亚马逊、Netflix和沃尔玛也使用免费证书
“Have I Been Pwned”的创始人 Troy Hunt 在 2018 年上半年 Chrome 首次尝试从浏览器中移除 EV 指示器时发布了一条推文。
亚马逊、Netflix、沃尔玛、eBay、Target、百思买:这些企业拥有无限的安全预算、专家团队以及数百万每天输入敏感信息的客户——他们都在运行标准的域名验证证书。
当 Shopify 和亚马逊使用免费 SSL 证书处理数十亿笔交易时,EV 证书供应商究竟声称能保护您免受哪些免费证书无法提供的保护呢?
这些公司并没有在安全方面偷工减料。他们只是使用提供相同加密功能的证书,而无需不必要的文档开销和成本。
购买EV证书是否划算?
当您考虑到您实际获得的东西时,EV 证书的经济效益并不划算。
您是在为行业自身利益买单
证书颁发机构浏览器论坛 (CBCBF) 制定了行业标准,但本质上它是一个由证书提供商组成的联盟,制定规则以销售更昂贵的证书。
一位自称曾在证书颁发机构工作过的 Reddit 用户回答了这个问题:“高端 SSL 证书有什么意义?”
他们表示,高端 SSL 证书和普通 SSL 证书没有区别。这只是证书颁发机构向你推销更多证书的一种方式。
当销售昂贵证书的同一家公司制定关于何时需要昂贵证书的规则时,这会产生明显的利益冲突。
那些价值数百万美元的保证不过是营销噱头
电动汽车证书附带保证,金额通常在 1 万到 200 万美元之间,具体取决于证书类型。这些保证据称可以在证书颁发机构犯错导致安全漏洞时为您提供保障。
但据 Troy Hunt 等专家称,这些保证自始至终都是营销噱头。
Report URI 的创始人 Scott Helme 还提到了这些保证涵盖的三种情况。
但这些情况实际上都不会导致您获得索赔。首先,如果没有有效信息,证书就无法颁发,因此第一项会立即失效。第二项和第三项同样毫无根据。
我建议您通读 Scott 和 Troy 的文章,以便更清楚地理解为什么我也认为这些是营销噱头。
那么您真的需要EV证书吗?
尽管我们上面讨论了所有内容,但 EV 证书确实有一些用处。
以下是一些您需要依赖 EV 证书的特定情况。
- 受到严格监管要求的金融机构:某些合规框架(例如 PCI DSS 或特定的银行法规)强制要求使用 EV 证书。如果您的监管机构要求这样做,您别无选择。
- 旧式 IT 设备:一些较旧的系统,尤其是 21 世纪初的企业硬件,无法识别 Let’s Encrypt 的根证书。随着旧系统被取代,这种情况越来越少见。
- 企业政策要求特定类型的证书:一些大型公司有内部政策,要求面向公众的网站必须使用 EV 证书。这通常更多是出于企业风险管理而非实际安全考虑。
- 代码签名和文档签名:Let’s Encrypt 仅颁发 DV 证书。如果您要对软件下载或文档进行签名,则需要来自传统证书颁发机构的证书。
对于绝大多数网站(例如博客、电商商店、SaaS 应用程序、营销网站和大多数商业网站)而言,EV 证书与免费证书相比并无实质性优势。
您是否应该直接获取免费证书然后继续使用?
在我看来,答案是肯定的。事实上,对于 99% 的网站来说,答案是肯定的。
原因如下:
市场已成定局
域名验证证书占据了市场的绝大部分。
据 BuiltWith 的数据,截至 2025 年 6 月,互联网上已有超过 2.58 亿个 SSL 证书。其中大多数是免费的、自动化的,并且提供了卓越的安全性。
注:您会注意到 SSL By Default 证书在这里的份额最大。但是,Let’s Encrypt 也销售 SSL By Default 证书。因此,即使它们单独显示,我也会将它们视为一个整体。
将资金投入到真正重要的安全保障中
您节省的时间和金钱可以用于真正重要的安全措施:更好的托管基础设施、安全监控、定期备份、Web 应用程序防火墙或渗透测试。
大多数主机提供商现在都提供一键式 Let’s Encrypt 集成服务。如果您的主机提供商还没有提供该服务,那么现在是时候找一家明白现在是 2025 年而不是 2010 年的主机提供商了。
别想太多,DV SSL证书就是你所需要的
扩展验证证书是昂贵的解决方案,但大多数问题都可以免费解决。我指的并非那些需要 EV SSL 证书的受严格监管的行业——对于世界其他地区,DV SSL 证书应该就足够了。
加密方式相同,浏览器会屏蔽视觉指示器,即使是最大的公司也不使用它们。
以下是你应该做的:
- 登录你的主机控制面板
- 一键启用免费 SSL 证书
- 大功告成!
你的用户将获得与 Amazon 和 Shopify 相同的加密保护。
如果你的主机不提供免费 SSL 证书,你需要提供免费证书的主机提供商!
把钱省下来用于真正重要的安全保障:备份、监控或 Web 应用程序防火墙。
这些措施比每年花费数百美元购买高级文件更能保护你的网站。
如果您宁愿将技术问题交给专业人士,我们可以为您提供专业的网站管理服务!
评论留言