关注网络安全
和行业未来

是谣言吗?花钱买来的证书比免费的更好?

目前我们看到网络加密的速度比历史上的任何时候都要快,我们正在取得令人惊叹的进展。知名安全博主Scott Helme每六个月都会发一份互联网排名前一百万站点的报告,在2018年2月最新的报告中,我们看到加密网站的迅猛增长:

谷歌也在去年公布了一组Chrome浏览器的数据:

全网加密成为一种趋势,并将最终成为所有网站的标配。

证书颁发机构起关键

一家CA(证书颁发机构)的作用是给您签发证书并安装到站点。证书在整个过程中起着至关重要的作用,即认证。 如果您在地址栏中输入sslchina.com,然后按回车,当页面加载时,您可以确定您已经从sslchina.com加载页面,并且没有人试图模仿我。 浏览器验证它收到的证书,以确保它是一个真正的证书而不是伪造的证书,证明它是由可信任的CA颁发的,并且该证书是发给sslchina.com的。 这是浏览器在建立安全连接时执行的第一步,如果失败,则不会再有任何事情发生。 然而,这是证书的全部。 一旦浏览器在连接开始时完成了这些检查,证书就可以被丢弃,不再有其他用途。

免费(DV)证书和收费(DV)证书的差别

一场关于DV证书的有趣争议正因为Let's Encrypt的存在进行着。CA曾以高价售卖DV证书赚得盆满钵满,直到两年前Let's Encrypt的横空出世打破了这一行业规则。免费证书无疑是诱人的,Let's Encrypt不得不面对来自行业、各界的质疑,但这与证书的质量有关吗?

所有由CA签发的证书都必须遵守CAB论坛制定的行业基准。这个文档事无巨细,从CA必须验证域名所有者到一张证书能用多久,各种颁发证书的限制都囊括其中。无论证书是不是收费,要求都一样。

除了控制证书颁发过程和策略的CAB论坛制定的行业要求之外,我们也必须考虑这些标准: 所有的X.509证书都必须按照规范签发,否则他们根本就不会工作! RFC 5280提供了所有颁发的证书必须符合的X.509v3证书配置文件。 这些标准同样没有提及证书是否收费或免费发放。

更好的加密

经常会有人说,证书多少会对通过连接传输的数据的加密产生影响。

这明显是谣言。真相是,证书与您传输的数据的加密毫无关系。但这种误解从何而来呢?逛一圈CA网站你就懂了:

数据的加密由服务器配置处理,而不是证书。 让我们来看看几个密码套件来证明这一点。 假设我们有一个2048位的RSA密钥,并且我们获得了一个证书,那么您将看到一个在生产中看起来像这样的密码套件。

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS - 正在使用的协议。
  • ECHDE - 椭圆曲线Diffie-Hellman短暂密钥交换,支持前向保密。
  • RSA - 用于认证的密钥,在这种情况下是我们的2,048位RSA密钥。
  • AES - 高级加密标准,用于加密数据的对称加密算法。
  • 128 - 对称密钥大小。
  • GCM - 伽罗瓦/计数器模式,我们使用认证加密(AEAD)。
  • SHA256 - 用于完整性检查的消息认证码。

证书唯一涉及的组件是用于身份验证的密钥。 在上面的例子中,我们使用了2,048位的RSA密钥,但我们甚至没有列出密码套件中密钥的大小,只是关键算法。 上面的特定密码套件使用128位密钥的AES,但如果我们想用256位密钥将其增加到AES,我们只需将配置更改为使用其他套件。

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA256

现在我们使用256位加密,并且我们没有更改任何与证书有关的事情,我们仍然可以使用完全相同的证书。 事实上,不同的客户可能会根据其功能谈判这两个密码套件中的任何一个。 我们甚至可以更改身份验证密钥并获得ECDSA证书,但它们与加密无关,仅仅是再次更新密码套件。

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256

谈论购买或获取证书时可以使用的加密强度有点像谈论您的网站在购买或获取证书时是否具有响应式设计。 它与CA或证书无关,完全取决于现场进行配置和控制。

商业证书也提供免费证书

这是一个有趣的转折,当“商业CA”提供免费证书时我们做什么? 他们的免费赠品是否比他们的付费证书更糟糕,或者是商业CA的免费证书,因为他们是商业CA? 可能最大和最广为人知的免费证书来源是Let's Encrypt,但他们不是唯一一个发放免费证书的CA,也不是第一个。

早在Let's Encrypt存在之前,StartCom就发布了免费的DV证书,但这家CA已经关门了,不能再使用。 还有Comodo,提供90个免费证书,跟Let's Encrypt一样。

对信息加密没有任何影响,不仅免费证书和付费证书完全相同,连签发的架构都是一样的(出自同一根证书)。除了Comodo,AlwaysOnSSL也是一家免费、自动化的CA,还有一些主流CDN如Cloudflare也提供免费证书服务。当您注册Cloudflare并让他们代理您的流量时,他们会颁发证书通过其通用SSL程序安全地执行此操作。

鉴于Cloudflare可能是世界上最大的CDN提供商之一,为一些相当大的网站提供流量代理服务,人们对于Cloudflare发放的免费证书是略有微词的。因为它即没有保修期也没有保险。

免费CA不会对你增加额外限制

当你以为自己花钱买了张证书就万事大吉的时候,现实常常不那么如意。或许你现在只有两个服务器,但当你的站点扩张到需要3个甚至30个服务器时,你的CA会跳出来说让你加钱。而这其实和技术无关。纯粹是商业CA的加戏行为。免费CA就不会如此。

免费证书就是坑...吗?

要看你问谁了。商业CA或经销商估计会告诉你别用免费的。(毕竟除了他们家,在座的都是垃圾)但理智选择是很有必要的,明确自己的需求才不会被戏精坑。

证书具有二进制状态?

当您查看证书时,我们唯一真正关心的是浏览器是否会接受它,我们关心证书是否有效。 为了有效,上面列出了各种技术标准,包括它的格式,它包含的字段以及它们中必须满足的数据。 还有关于CA如何发布的标准,以及所有这些都对浏览器对证书本身的最终决定起作用。从微观角度来说,无论你交了多少血汗钱买证书都不会影响一个bit。一张证书是否免费与数据无关。

 

稿源:Scott Helme

评论 1

  1. #1

    我收费的买不起只能用免费的

    匿名7个月前 (05-06)回复