为什么 SSL 证书是年度费用?

信息安全 tls 证书 证书颁发机构 虚拟主机
2021-08-16 23:05:40

我了解 SSL 证书因声誉而需要花钱:大多数/所有 Web 浏览器的公司名单有限,这些公司证明他们是 SSL 证书的可信来源,因此不会向用户展示返回安全!筛选这些公司的产品。

我的问题是为什么这不是一次性费用?我正在考虑放弃自签名证书,但我的网络主机刚刚告诉我,它的起价为每年 35美元,而且每年可以轻松达到数百美元。为什么这不是一次性费用?

4个回答

让我们从愤世嫉俗的观点开始:

证书颁发机构是营利性公司,因此他们会收取尽可能多的费用!

更严重的是,运行证书颁发机构是一项昂贵且利润率低的业务,但答案实际上归结为您想要的证书类型。

域验证 (DV) 证书

对于一个基本的 DV 证书,使您的浏览器地址栏看起来像这样: 浏览器地址栏中的 DV 证书

成本非常低 - 基本上 CA 只需要确认请求证书的人在请求时控制了服务器。这可以完全自动化。正如@SteffenUllrich 指出的那样,2014 年,电子前沿基金会、Mozilla 和密歇根大学联手建立了一个 100% 免费的 CA Let's Encrypt来颁发 DV 证书。根据您在问题中描述的用例,这听起来很适合您的需求。

扩展验证 (EV) 证书

如果您希望包含经过验证的公司名称和注册国家/地区的高端证书显示在浏览器中,如下所示:

EV 证书浏览器地址栏

那么 CA 的成本要高得多。在颁发 EV 证书之前,CA 需要让人工验证有关贵公司法律地位的一大堆事情。诸如:您的公司是否以证书请求中列出的名称合法注册?申请证书的人是否在公司的注册文件中被列为公司的法务人员?所请求网站的 DNS 记录是否注册到同一家公司?等等。

为什么要定期收费?

CA 收取经常性费用的原因与您无法获得 10 年 SSL 证书的原因相同:CA/Browser 论坛要求证书每两年到期并完全重新验证。这样做的安全原因是强制密钥翻转,防止公司破产或更改名称以及流氓系统管理员继续恶意使用证书等。

CA 不仅需要在首次颁发时进行所有这些背景检查,而且还需要在每次更新证书时进行。对您而言,附加值是您的客户对您网站的可信度有更高程度的保证(当然,99% 的消费者不会注意到,但审计员和黑客肯定会注意到!),而且,谷歌正在移动向具有更高质量证书的网站提供更高的搜索偏好。

这就是为什么证书每年要花费数百美元的原因;您不仅要为几位数据付费,还要为必须进行验证的人付出时间。

OCSP 服务器

维护证书也有服务器成本,主要是OCSP的成本,这要求 CA 维护高带宽、低延迟、零停机时间的服务器,以响应对他们颁发的每个证书的撤销检查。虽然这听起来可能并不昂贵,但每个 Web 浏览器都必须在每次 HTTPS 页面加载期间 ping CA 的 OCSP 服务器。CA 响应所花费的每额外毫秒都会增加Internet 上每个页面的页面加载时间。在这种流量级别运行低延迟服务器是一个棘手的网络工程问题。

[披露:我为 CA 工作]

很容易认为证书的有效期有限只是为了收取经常性费用,但实际上恰恰相反:证书的有效期是有限的,因此您必须在有效期内为新证书付费起来了。

要了解为什么会这样,请阅读Let's Encrypt 的常见问题解答,他们颁发免费证书,但将其生命周期限制为 90 天。他们的主要理由是:

它们限制了密钥泄露和错误发布造成的损害。被盗的密钥和错误颁发的证书的有效期较短。

只要证书有效,任何获得该证书副本及其相应私钥的人都可以冒充该域的所有者。如果您的系统受到威胁,或者您在域上销售,或者在此期间证书状态发生任何其他变化,客户可能会继续信任该证书。

可以在其生命周期撤销证书,但这依赖于客户端检查证书颁发机构维护的撤销列表,因此它不如作为防篡改证书一部分的到期日期可靠。

这实际上是 Let's Encrypt 声称的优势之一:他们提供与付费服务的基本证书相同级别的验证,但通过使用自动化系统,他们消除了购买长期证书的诱惑。

如果您不需要“扩展验证”(证明您的企业身份,而不仅仅是您对域的所有权),那么使用 Let's Encrypt 并更频繁地免费且自动地更新可能是您最好的做法。在某些 Web 主机上,这现在就像在控制面板中勾选一个框以启用自动配置一样简单。

在证书的生命周期内,CA 必须能够撤销它,这意味着:

  • 维护已撤销证书 (CRL) 的列表
  • 响应客户要求撤销状态 (OCSP)。

因此,只要证书有效,证书就会对 CA 产生“成本”。

此外,CA 必须保持高水平的安全和信任,以避免被浏览器不信任。

要解释有关 OCSP 的更多信息:

网站的每个访问者都可以要求 CA 提供不撤销证明。该证明必须是最近的,而不是意味着 CA 必须定期(大约每 10 天)为每个活动证书签署该证明。

要真正了解运行(非商业)CA 的成本:

https://letsencrypt.org/2016/09/20/what-it-costs-to-run-lets-encrypt.html

人员配备 206 万美元

硬件/软件 20 万美元

托管/审计 30 万美元

法律/行政 35 万美元

总计 291 万美元

当然,对于商业 CA,您必须添加计费、广告、投资者报酬的成本......

而且,对于 OV/EV 证书,您必须添加手动验证提交的文件以证明公司所有权的成本。

一个目的是因为一年后,你的计算能力可能会破坏证书,所以他们更新它。

如果我给你一个终身的证书,那么一两年后,我可能会打破你的证书,所以终身拥有一个证书不是一个好主意。

其它你可能感兴趣的问题
上一篇如果我目前在一个网站上并禁用了我的 VPN,我的 ISP 或网络服务器是否会立即意识到这一变化,或者是否必须进行页面刷新? 下一篇“破解”的产品密钥会以任何方式伤害用户吗?