今天想到个奇怪的事
明明 lets encrypt 可以提供免费证书, 并且可以稍微配置下就自动更新 虽然三个月一次, 但是自动更新了, 有啥区别
别说大点公司网站不差钱, 今天无意中看了下, hacknews 网站, 最前沿的 it 信息站, 每天流量巨大 https://news.ycombinator.com/ , 结果也是用的 lets encrypt 免费 3 个月那种
另外大家天天上的 V2EX 也是用的 lets encrypt
128 条回复 • 2024-12-03 02:47:57 +08:00
 |
101
ZeroClover 14 小时 46 分钟前
@jim9606 不懂可以不要强答
Let's Encrypt 是 X.509 证书,和代码签名证书根本不是一个东西,你拿 EV X.509 证书也不能签二进制 然后,EV 代码签名也不再可用于内核模式驱动签名,Windows 10 1607 开始就只认微软自家签名 |
 |
102
jaylee4869 14 小时 40 分钟前
某些行业(如医疗、金融、政府)在一些国家有特定的法规要求,必须使用 OV 或 EV 证书,而 Let's Encrypt 只能提供 DV 证书。
商业证书通常附带保险( warranty ),如果证书被破坏导致用户损失,证书颁发机构可能会提供赔偿。Let's Encrypt 没有类似的保险保障。 |
 |
103
iyaozhen 14 小时 33 分钟前
不同公司级别不一样
就我知道的,我们一个业务网关就几万个 docker pod ,用免费证书签发这个做起来不简单。还有就是要走 cdn 的,你签发的证书怎么分发到 cdn 厂商呢?还是买商业证书,花钱更简单 |
 |
104
andyskaura 14 小时 24 分钟前
@XDiLa #81 槽点太多。
|
 |
105
unnamedhao 14 小时 17 分钟前
对于证书的更新,一台机器和一个集群的机器是不一样的
|
 |
106
Tink 14 小时 14 分钟前
省这点钱有啥意义呢
|
 |
108
NoKey 14 小时 1 分钟前
保不保证根秘钥不丢?🤣
|
 |
109
buffzty 13 小时 56 分钟前  1
我觉得是智商税,唯一优点现在以已经没了,很多年前浏览器会在域名前面加绿色的公司名,现在这功能已经没有了
所以他们早就该凉了,贵地要死,只是一个验证域名所有权收费这么多不是智商税是啥 免费证书其实没大缺点,网上说的时间短这个问题根本不是问题,现在都是自动更新证书。还有人说不认这个证书,其实是自己配置错了,把完整证书链配置上去所有系统都认。 |
 |
111
Dragonphy 13 小时 17 分钟前
整那些有的没的,看看 V 站的
 |
 |
112
iorilu OP hackernews 不是大站吗, 而且人家可是全球类似网站毫无疑问第一,
任何重量级的开源软件, IT 消息都会第一时间发布, 人家会差几个钱吗, 为什么还是用免费的 |
 |
113
Configuration 12 小时 34 分钟前
@iorilu #112 越来越魔障了,比尔盖茨开帕萨特,其他所有人都只能开帕萨特吗?
|
 |
114
thtznet 12 小时 29 分钟前
技术思维考虑商业服务:怎么也想不通这些傻子为啥要花这种冤枉钱。
商务思维考虑技术服务:怎么会有傻子高兴自己去背锅干有风险的事情。 管理类人员和技术工程师考虑问题的角度不同。 |
 |
115
bk201 12 小时 12 分钟前
1.技术型领导和非技术型领导区别,领导出生不一样,解决问题的方式也不一样。
2.综合性站点和非综合性站点区别。有的站点有很多子站点,每个子站点不同团队在维护,你 3 个月换一次,不把人折腾死。 没有啥非黑即白的东西,具体用什么,很自由,何况这钱很少,也上升不到去研究到底用哪种的地步。 |
 |
116
twl007 12 小时 7 分钟前
感觉区别越来越小了 要是 Let's Encrypt 早出几年 就免去很多申请证书的麻烦了
|
 |
117
a1274598858 11 小时 47 分钟前
免费的有赔付吗
 |
 |
118
ayelky 11 小时 11 分钟前
我准备收费转免费。。。
|
 |
119
Yanlongli 11 小时 9 分钟前
理论上一样,主要是信誉度。
不同的签发机构信誉不一样,比如免费的信任就会低一些。 另外说有些老旧系统或软件不支持 let`s 的,这个其实和根证书的有效期有关,目前 let`s 的根发布于 2015 年,自然老旧的系统和软件没有内嵌这些根证书,手动安装就好,另外有些证书的算法( ecc 、国密 sm2 发布日期都是新发布的,亦或者密钥长度 4096 、8192 )可能老旧的系统和软件也不支持,这个和是否免费无关,还是和具体机构所采用的技术有关。 |
 |
120
durban126 11 小时 1 分钟前
有些公司用免费的
是因为怕出事找不到责任人,自己也不愿意去担责 证书这个东西,开公司为了保证安全去有商业保证的公司买 比如七牛云,阿里云,腾讯云等等,因为人家是官方出的,免费的,大多数人的心理作用都是免费没好货,so 这种消费的意识是骨子里面培养起来的,大多数人没有自己的基本思考,只愿意相信权威,尽管有些权威也没啥含金量,我自己的个人网站我就用 Let's Encrypt ,但是你跟公司说这个东西可以用没问题,老板觉得还是花钱来的安全 就像是,去菜市场买菜,突然来个免费的,大多数人还是会思考下会不会有免费,但是打个油头说我今天过生日,这个菜就是 1 折,还是会有很多人去买的, 按照我的思考其实不管是真的假的,经过自己的思考,符合规定的证书就没问题的,但是总有喜欢上当的,证书只是其中一个个例,好多事情都是一样的道理,毕竟免费的东西,如果真的是好的,也不太好去做大肆宣扬,如果真的出问题了,总会有人过来说人家的,但是话说回来,人家就是个免费的出问题为什么要找人家呢,古古怪怪的是人的思想 哈哈哈 |
 |
121
gloeaerris 10 小时 39 分钟前
您这一招叫:堵死自己的商业嗅觉。
从公司的角度来看,免费的其实也是最贵的。 如果你看到的大网站还在用 Let's Encrypt 的话,你会发现他们有个特点,创始人基本是技术起家的。 |
 |
122
SekiBetu 10 小时 12 分钟前
zerossl 挺好的
|
 |
123
jeesk 10 小时 1 分钟前
我就想问免费证书支持 SAN ? 你看很多商业公司一个证书签了 n 多域名. 不比免费的好?
|
 |
124
codersdp1 9 小时 59 分钟前
遇到一个问题,阿里云支付回调不认可这些证书,这就很头疼了。
|
 |
125
arrow629 7 小时 52 分钟前
@jeesk #123 支持的,Let's Encrypt 能签 100 个 SAN (含通配符) Posh-ACME 列的几家免费证书就有 3 家可以 https://poshac.me/docs/v4/Guides/ACME-CA-Comparison/#acme-ca-info
|
|
126
arrow629 7 小时 44 分钟前
说真的,用着免费版或者 Pro 版的 Cloudflare 的网站,大多都选择 Cf 托管的 ssl 证书吧。CF 给的就是从 Let's Encrypt 和 Google Trust Services 里选的证书啊。
|
 |
127
epiphyllum 4 小时 52 分钟前
1. 一些从业较久、声誉良好的付费证书提供商可针对老旧系统或设备提供更广泛的兼容性。
2. 付费证书提供商多年以来的宣传会无形中培养一些关于证书产品的刻板印象,改变了一些公司或人员的消费习惯。 3. 付费证书提供商开出的高价中往往包含“赔付”或“保障”等服务,可以帮助开发人员和管理者分担出现事故时的责任与风险(而且反正又不需要我们打工的出钱) 4. 价格更高的 EV 、OV 证书在某些场景下是一种身份证明和财力/实力象征,能一定程度上博取用户/客户信任。 (例如 Google 直接自建 CA )(例如“我可能用不上,但我不能没有”,就像工商银行可以砸钱去 ICANN 买一个 *.icbc 的域名后缀那样,哪怕并没有实际业务用也无所谓) 5. 一些历史包袱较重的服务,以及维护它们的公司/政府难以轻松地为系统添加自动化证书更新。哪怕一些全球知名的大公司也逃不过偶尔的“证书过期”事故。 (相关新闻可搜索关键词:淘宝 证书过期、Apple Music 证书过期) |
 |
128
zzmark06 1 小时 52 分钟前
1. 设备兼容性。你不能要求用户不使用老设备,也不能要求老业务组去升级基础设施(真的会死)
2. 证书轮换,项目各种奇葩部署方式导致证书根本收不上来,难不成每 2 个月就要到七八个项目组二三十个证书轮换点挨个去轮换? 3. OCSP ,Lets encrypt 的 OCSP 经常被墙,导致 ios 用户首次请求直接寄(超时 10s )。 4. 业务多了,Lets encrypt 的免费单域名不够用,通配解析又存在分发问题(参照第二点)。 5. 安规,你以为买 OV 和 EV 只是个证书?其实买的是审查和设计。 问出这个问题,难道没赶上 Lets Encrypt 更换根证书的时候吗,证书只是运维的一个小部分,没有人天天能盯着这么多东西的。 至于说做好监控,或者自动 acme.sh ,现实情况远比梦里的复杂,你觉得是雇个人天天盯着成本低,还是直接花几千块钱买个证省下一年十几个 (人/日) 成本低。 |
Select Language