如果這是 2010 年,我會建議你購買擴充套件驗證 (EV) SSL 證書。
當時,EV 證書會將位址列變成綠色,在 URL 欄中顯示公司的法定名稱,並顯示一個可見的掛鎖以確認網站的真實性。
但現在已不是 2010 年了。EV SSL 證書早已銷聲匿跡。
如今,購買 SSL 證書就像買個金馬桶一樣。結果一樣,只是價格要貴得多。
EV證書的實際作用(以及它的重要性)
您現在看到的基本域名驗證 (DV) 證書僅驗證您控制的域名。任何人都可以獲得這些證書。
擴充套件驗證證書需要全面的業務驗證。例如,需要提供法律檔案、電話記錄、地址確認以及公司真實運營的證明。
整個過程可能需要幾天甚至幾周的時間,並且每一步都需要人工驗證。
最終結果是,您的公司名稱會顯示在瀏覽器中,就像這個來自 Comodo(一家主要的 SSL 證書提供商)的示例一樣。
但正如您現在所見,即使是 Comodo 也沒有顯示任何 EV SSL 的標記。
是什麼讓EV SSL證書現在成為一個糟糕的選擇?
EV 證書之所以有價值,主要在於其視覺指示。而瀏覽器是其被移除的驅動力。
EV證書的終結
2015 年之後,SSL 證書成為網站的標準。
掛鎖圖示更多地是一種期望,而非信任訊號。
為了消除冗餘,Chrome 在 2018 年移除了綠色 URL 欄,並在 2023 年用音樂圖示取代了掛鎖圖示。Firefox 在 2019 年取消了 EV 指示,其他瀏覽器也紛紛效仿。
任何沒有有效 SSL 證書的網站都會被標記為“不安全”。
使用者必須點選“高階”和“繼續訪問網站(不安全)”才能訪問此類網站。
就這樣,EV SSL 證書的價值主張蕩然無存。然而,你仍然看到一些公司像什麼都沒發生過一樣在銷售它們!
瀏覽器也發現EV證書並無幫助
移除視覺提示並非隨意而為,而是經過研究證實的。
在特寫截圖中,綠色的 URL 欄似乎很有價值。
但當谷歌安全團隊研究這項昂貴的驗證是否提供了真正的安全優勢時,他們發現“EV 證書使用者介面並沒有像預期的那樣保護使用者”。
無論 EV 證書指示器是否存在,使用者做出的安全決策都不會有所不同。Mozilla 在自己的研究之後也得出了類似的結論。
結論是什麼?在 EV 證書上花費的錢並沒有轉化為更好地抵禦實際威脅(例如網路釣魚或惡意網站)的保護。
大多數使用者再也看不到EV證書資訊了
Chrome 77 和 Firefox 70 在 2018 年某個時候釋出後,最後一點 EV 證書資訊也被隱藏了。
公司名稱、擴充套件驗證狀態、已驗證的業務資訊——所有內容都顯示在“調諧”圖示下方,需要使用者點選才能檢視證書詳情。
因此,大多數使用者永遠看不到那些據稱能夠證明其高價合理的 EV 詳細資訊。
證書就是證書——所有證書都提供相同的加密
SSL 證書的作用是加密從訪問者瀏覽器傳輸到公司伺服器的資料。這確保了不法分子無法監視資料。
任何 SSL 證書都可以以相同的方式加密資料。
加密演算法完全相同:RSA-2048 用於金鑰交換,SHA-256 用於數字簽名,AES 用於對稱加密。
無論證書頒發機構是哪個,也無論您支付了多少費用,瀏覽器都會建立完全相同的安全隧道。
無論您使用的是免費的 SSL 證書還是價值 500 美元的擴充套件驗證證書,保護使用者資料的實際安全性都是完全相同的。
使用 EV 證書,您只需支付額外的文書工作費用,而不會獲得任何額外好處。
2025年及以後,還有什麼更好的選擇?
Let’s Encrypt 徹底顛覆了 SSL 市場,它使證書免費、自動化,並且與昂貴的替代方案一樣安全。現在,每個擁有域名的人都可以獲得 SSL 證書。
Let’s Encrypt佔據市場主導地位並非偶然
免費域名驗證證書提供商 Let’s Encrypt 佔據了整個 SSL 證書市場 63% 的份額。其餘市場份額則由其他 DV 和 EV SSL 提供商瓜分。
截至 2020 年,該公司已簽發超過 10 億份證書。
現在,Let’s Encrypt 每天簽發超過 700 萬份新證書。
自動化優於手動流程
SSL 行業出售的證書價格昂貴,且需要耗費數天甚至數週的手動驗證流程,而 Let’s Encrypt 則實現了自動化和效率。
ACME 協議允許證書的簽發、安裝和續訂無需人工干預,通常只需幾分鐘而非數天即可完成。
這種自動化既確保了安全性,又提升了便捷性。SSL 認證機構 (CA) 現在可以使用有效期更短的證書(例如 90 天)。
即使攻擊者獲得了 CA 的私鑰(用於告知瀏覽器證書有效的金鑰),該證書也只能有效 90 天,超過 90 天后將生成新金鑰,之前的金鑰將被視為無效。
如果 90 天聽起來很長,那麼 SSL 提供商已經在採取措施進一步縮短證書有效期。
較短的證書有效期使手動驗證幾乎不可能
SSL 行業正在朝著更短的證書有效期發展。
預計到 2026 年,EV 證書的最大有效期將達到 200 天,到 2027 年將達到 100 天,到 2029 年將達到 47 天。
想象一下,每 47 天就要進行一次 EV 證書的手動驗證流程——包括法律檔案、電話驗證和業務驗證。僅管理成本就非常高昂,使其不再值得。
這或許可以解釋為什麼到 2025 年,只有 21,000 個網站擁有 EV 證書。
域名驗證 (DV) 證書通常就是您所需的一切
域名驗證證書(無論是免費還是付費)都比昂貴的 EV 證書具有多項優勢。
- 相同的加密方式:您的使用者獲得相同的安全性
- 自動續訂:無到期中斷風險
- 更快的部署:只需幾分鐘,無需幾天或幾周
- 無管理開銷:無需文書工作、電話或業務驗證
- 面向未來:專為 2029 年即將縮短的證書有效期而設計
Let’s Encrypt 和 CloudFlare 等免費 DV SSL 證書提供與其他證書相同級別的保護。如果您只需要這些,請選擇免費證書。
對於需要客戶支援、更長有效期以及建立信任的安全封條的大型組織或電子商務企業來說,專業簽名的 DV SSL 證書是明智之舉。
大公司是否使用 EV 證書?是否真的有人需要它們?
如果 EV 證書對於安全和信任而言確實是必需的,那麼大型公司自然會使用它們。
但事實並非如此。
就連亞馬遜、Netflix和沃爾瑪也使用免費證書
“Have I Been Pwned”的創始人 Troy Hunt 在 2018 年上半年 Chrome 首次嘗試從瀏覽器中移除 EV 指示器時釋出了一條推文。
亞馬遜、Netflix、沃爾瑪、eBay、Target、百思買:這些企業擁有無限的安全預算、專家團隊以及數百萬每天輸入敏感資訊的客戶——他們都在執行標準的域名驗證證書。
當 Shopify 和亞馬遜使用免費 SSL 證書處理數十億筆交易時,EV 證書供應商究竟聲稱能保護您免受哪些免費證書無法提供的保護呢?
這些公司並沒有在安全方面偷工減料。他們只是使用提供相同加密功能的證書,而無需不必要的文件開銷和成本。
購買EV證書是否划算?
當您考慮到您實際獲得的東西時,EV 證書的經濟效益並不划算。
您是在為行業自身利益買單
證書頒發機構瀏覽器論壇 (CBCBF) 制定了行業標準,但本質上它是一個由證書提供商組成的聯盟,制定規則以銷售更昂貴的證書。
一位自稱曾在證書頒發機構工作過的 Reddit 使用者回答了這個問題:“高階 SSL 證書有什麼意義?”
他們表示,高階 SSL 證書和普通 SSL 證書沒有區別。這只是證書頒發機構向你推銷更多證書的一種方式。
當銷售昂貴證書的同一家公司制定關於何時需要昂貴證書的規則時,這會產生明顯的利益衝突。
那些價值數百萬美元的保證不過是營銷噱頭
電動汽車證書附帶保證,金額通常在 1 萬到 200 萬美元之間,具體取決於證書型別。這些保證據稱可以在證書頒發機構犯錯導致安全漏洞時為您提供保障。
但據 Troy Hunt 等專家稱,這些保證自始至終都是營銷噱頭。
Report URI 的創始人 Scott Helme 還提到了這些保證涵蓋的三種情況。
但這些情況實際上都不會導致您獲得索賠。首先,如果沒有有效資訊,證書就無法頒發,因此第一項會立即失效。第二項和第三項同樣毫無根據。
我建議您通讀 Scott 和 Troy 的文章,以便更清楚地理解為什麼我也認為這些是營銷噱頭。
那麼您真的需要EV證書嗎?
儘管我們上面討論了所有內容,但 EV 證書確實有一些用處。
以下是一些您需要依賴 EV 證書的特定情況。
- 受到嚴格監管要求的金融機構:某些合規框架(例如 PCI DSS 或特定的銀行法規)強制要求使用 EV 證書。如果您的監管機構要求這樣做,您別無選擇。
- 舊式 IT 裝置:一些較舊的系統,尤其是 21 世紀初的企業硬體,無法識別 Let’s Encrypt 的根證書。隨著舊系統被取代,這種情況越來越少見。
- 企業政策要求特定型別的證書:一些大型公司有內部政策,要求面向公眾的網站必須使用 EV 證書。這通常更多是出於企業風險管理而非實際安全考慮。
- 程式碼簽名和文件簽名:Let’s Encrypt 僅頒發 DV 證書。如果您要對軟體下載或文件進行簽名,則需要來自傳統證書頒發機構的證書。
對於絕大多數網站(例如部落格、電商商店、SaaS 應用程式、營銷網站和大多數商業網站)而言,EV 證書與免費證書相比並無實質性優勢。
您是否應該直接獲取免費證書然後繼續使用?
在我看來,答案是肯定的。事實上,對於 99% 的網站來說,答案是肯定的。
原因如下:
市場已成定局
域名驗證證書佔據了市場的絕大部分。
據 BuiltWith 的資料,截至 2025 年 6 月,網際網路上已有超過 2.58 億個 SSL 證書。其中大多數是免費的、自動化的,並且提供了卓越的安全性。
注:您會注意到 SSL By Default 證書在這裡的份額最大。但是,Let’s Encrypt 也銷售 SSL By Default 證書。因此,即使它們單獨顯示,我也會將它們視為一個整體。
將資金投入到真正重要的安全保障中
您節省的時間和金錢可以用於真正重要的安全措施:更好的託管基礎設施、安全監控、定期備份、Web 應用程式防火牆或滲透測試。
大多數主機提供商現在都提供一鍵式 Let’s Encrypt 整合服務。如果您的主機提供商還沒有提供該服務,那麼現在是時候找一家明白現在是 2025 年而不是 2010 年的主機提供商了。
別想太多,DV SSL證書就是你所需要的
擴充套件驗證證書是昂貴的解決方案,但大多數問題都可以免費解決。我指的並非那些需要 EV SSL 證書的受嚴格監管的行業——對於世界其他地區,DV SSL 證書應該就足夠了。
加密方式相同,瀏覽器會遮蔽視覺指示器,即使是最大的公司也不使用它們。
以下是你應該做的:
- 登入你的主機控制面板
- 一鍵啟用免費 SSL 證書
- 大功告成!
你的使用者將獲得與 Amazon 和 Shopify 相同的加密保護。
如果你的主機不提供免費 SSL 證書,你需要提供免費證書的主機提供商!
把錢省下來用於真正重要的安全保障:備份、監控或 Web 應用程式防火牆。
這些措施比每年花費數百美元購買高階檔案更能保護你的網站。
如果您寧願將技術問題交給專業人士,我們可以為您提供專業的網站管理服務!
評論留言