最近折腾一下网站,主要是想搞那个HTTPS,就是地址栏前面多个小锁头,看着安全点儿。现在浏览器都这样,没那锁头就给你标个“不安全”,挺烦人的。没办法,就得弄个叫SSL证书的东西。
一开始我也不太懂这玩意儿,上网查查,发现有免费的,也有要花钱的。心里就琢磨,这免费的和付费的有啥不一样?是不是免费的就不安全?
先试试免费的
本着能省就省的原则,我决定先试试免费的。找个据说还挺有名的机构提供的免费证书,想着先跑起来再说。
- 申请过程:过程倒也不算太复杂。先是在服务器上生成一个请求文件,大概就是证明这个域名是我的。然后把这个文件传到那个发证书的网站上。
- 域名验证:接着是最关键的一步,验证域名所有权。它给我两种方式,一种是在网站根目录下放一个指定文件,另一种是给域名加个DNS解析记录。我选放文件那个,感觉简单点儿。上传好,点一下验证,通过。
- 拿到证书:没过多久,证书就发给我。一般是几个文件,一个证书文件,一个私钥文件,可能还有个中间证书链文件。
- 部署安装:然后就是把这些文件传到我的服务器上,我用的是Nginx,就得去改Nginx的配置文件,告诉它证书文件和私钥文件放哪儿,监听443端口,开启SSL。改完配置,重启Nginx。
捣鼓半天,刷新网站一看,地址栏前面真出小锁头!感觉还挺有成就感的。
免费的麻烦事
高兴没几天,问题来。免费证书有效期特别短,一般就三个月。这意味着每隔不到三个月,我就得重复上面那一套申请、验证、部署的流程。一开始还记得,后来事一多就忘,结果证书过期,网站直接访问不,浏览器报安全错误,比没加HTTPS之前还吓人。
这就有点烦。特别是之前帮朋友弄的一个小网站,也是用的免费证书,结果老是因为忘记续期被朋友吐槽,搞得我压力很大。
付费的怎么样?
实在被续期搞烦,我就去看看付费的证书。种类还真不少,价格从几十块到几千块一年的都有。
解一下,付费证书跟免费的主要区别大概这么几点:
- 有效期长:付费的一般至少一年起,省心多,不用老惦记着续期。
- 验证类型多:不光是验证域名,还有验证公司信息的(OV),甚至更严格背景审查的(EV),这种证书会让浏览器地址栏显示公司名,看着更“高大上”,当然也更贵。免费的基本就只有域名验证(DV)。
- 兼容性可能更据说付费证书在一些老旧设备或浏览器上的兼容性会更好点,不过我没实际对比过,现在大家设备更新都挺快的。
- 可能带保险:有些贵的证书还说带保险,万一因为证书问题造成损失能赔付,感觉更适合商业网站。
- 有客服支持:遇到问题可以找客服,不像免费的,基本靠自己摸索或者查社区。
对比下来,感觉如果就是个人玩玩,或者像我朋友那种小展示网站,对品牌形象没啥特殊要求,免费证书,只要能搞定自动续期(后来才发现有工具能自动续,比如*或者Certbot,能省不少事),也够用。毕竟加密传输这个基本功能,免费付费都能实现。
但要是商业网站,或者涉及到在线交易、用户敏感信息的,或者不想折腾续期、希望浏览器地址栏更好看的,那可能还是花点钱买个付费证书更省心、更专业。说白,就是花钱买个省心和更强的信任背书。
我自己的实践感受是:免费证书不是不能用,就是得勤快点或者用好自动化工具。付费证书主要是买个方便和安心。给朋友那个网站还是换个最便宜的付费DV证书,一年一续,省得我老是提心吊胆怕忘。