验证分为三个基本级别:仅域、域和业务以及域业务和代表身份。仔细想想,Domain only 实际上是非常弱的身份验证,它并不能证明您就是您所说的身份或您有权使用该品牌。然而,对于大多数最终用户来说,他们不会知道其中的区别,他们会看到锁定的图标。域名和业务是通常提供的,它们通常需要一些琐碎的东西,比如公司信用卡来验证您是有问题的业务。
扩展验证是一项新标准,要求 CA 采取额外步骤来验证您实际上是您所说的人,并且是允许以该名称进行交易的法人实体。有关更多详细信息,请参阅维基百科的条目。在 Firefox 中,EV 证书将显示为带有公司名称的 URL 本身稍微左侧的绿色框。
赔款
如果您其他人欺诈性地使用您的证书或来自同一 CA 的域,每个 SSL 提供商将提供不同的赔偿保险。我认为人们真的需要走这条路是非常罕见的
无论销售人员怎么说,证书在加密方面客观上几乎都是一样的。它们都启用了“足够好”的加密,这实际上主要取决于 Web 服务器的配置,并且在某种程度上取决于浏览器的功能。几年前美国对出口强加密的禁令被取消,所以今天几乎所有的浏览器都将支持 128 位 Twofish 或 AES 加密,如果服务器提出这一点的话。(令人惊讶的是,许多服务器仍然使用 56 位 DES、RC4 或其他较弱的方案,这是由于系统管理员的无知,或者是为了降低服务器上的 CPU 负载。)
长菊花链证书信任关系的问题也几乎消失了。今天的大多数浏览器都有一套相当完整的预装可信 CA。打开您的浏览器证书 UI 以查看您的(Firefox 3:工具 > 选项 > 高级 > 加密 > 查看证书)。
有时您会发现经销商以大约 20 美元的价格提供 Comodo、Digicert 或类似证书的促销活动。
您的网站在客户中激发的“信任”程度可能是一个考虑因素。可以说,兼容浏览器中的 Verisign 站点印章和绿色扩展验证栏比使用 GoDaddy 证书的简单 128 位加密要好。很难说,这在很大程度上取决于您的用户人口统计、年龄、计算机素养等。
一件事:保持您的 DNS Whois 信息准确可能是有益的,因为它是 CA 在颁发证书之前验证您的重要部分。我想从您已经有业务往来的人那里获取您的证书,例如您的网络主机/DNS 注册商,比通过 Comodo、Thawte 等进行验证更容易。
所以我的建议是评估您的用户,以及网站印章上更“值得信赖”的品牌是否会创造更多销售。然后执行以下操作之一:
恕我直言, “扩展验证”证书增加了一些价值,因为浏览器在视觉上向用户保证,绿色地址栏、突出的公司名称等一切正常。不幸的是,这些证书也很昂贵,而且验证起来更烦人。
我绝对可以理解您的困惑,因为这有点令人困惑。正如其他人在这里所说,通常证书是证书,提供相同级别的保护,并且对最终用户来说看起来相同。但是,存在差异,主要是关于验证级别。
验证级别
验证分为三个基本级别:仅域、域和业务以及域业务和代表身份。仔细想想,Domain only 实际上是非常弱的身份验证,它并不能证明您就是您所说的身份或您有权使用该品牌。然而,对于大多数最终用户来说,他们不会知道其中的区别,他们会看到锁定的图标。域名和业务是通常提供的,它们通常需要一些琐碎的东西,比如公司信用卡来验证您是有问题的业务。
扩展验证是一项新标准,要求 CA 采取额外步骤来验证您实际上是您所说的人,并且是允许以该名称进行交易的法人实体。有关更多详细信息,请参阅维基百科的条目。在 Firefox 中,EV 证书将显示为带有公司名称的 URL 本身稍微左侧的绿色框。
赔款
如果您其他人欺诈性地使用您的证书或来自同一 CA 的域,每个 SSL 提供商将提供不同的赔偿保险。我认为人们真的需要走这条路是非常罕见的
跨浏览器覆盖
通常,所有主要的 SSL 提供商都将立即在所有主要操作系统上得到支持。有些可能要求您提供中间链捆绑,这可能很麻烦。
撤销
并非所有 CA 都支持吊销证书的能力——当我上次看到这个时,令我惊讶的是,只有少数 CA 列出了证书吊销 url。如果您认真对待您的安全性,请选择一个具有撤销 URL 的选项。
概括
您的需求听起来基本而简单,我建议您购买便宜的东西。RapidSSL、InstantSSL、GoDaddy 或任何其他大玩家都可以。
我获得了通过 www.rapidsslonline.com 购买的 rapidssl 证书。从来没有遇到过问题。还获得了 godaddy.com 证书,也从未遇到过问题。大多数浏览器都会识别这两者。
威瑞信等只是浪费钱,除非有特殊需要显示威瑞信标志或其他东西。