10/26/2011

SSL 購買注意事項

最近系上打算要開始買ssl 憑證, 老師說要知道各家的差異,所以我很認命的查了一些資料,整理如下

主要差異:
  • Single Root V.S. Chained Root 
    • Single: 大部分數位憑證都擁有自己的憑證發放機構 (CA)以及自己的根憑證,這些公司的SSL 憑證都已經加入瀏覽器的安全憑證機構的名單內。 
    • Chained: 有些憑證機構並沒有一個被瀏覽器信任,或者並沒有自己的根憑證,這些公司就使用一種所謂『連鎖』根憑證來取得瀏覽器的信賴。有人說chained比較不安全,但是google 也是用chained (不過聽說安裝比較麻煩!) 
  • Domain Validation V.S. Organization Validation V.S. Extended Validation:
    • Domain Validation: 只有Domain 的資料
    • Organization Validation: Cert 包含organization的資料
    • Exteneded Validation (EV): Green bar (像google 在網址列上有自己的公司名字)
  • Single Domain V.S. Multiple Domain  V.S.  Wildcard SSL:
    • Single Domain:  只支援一個domain
    • Multiple Domain: 可驗證多個domain (不需要是同一個subdomain)
    • Wildcard: 可用regular Expression驗證domain (例如:*.csie.ntu.edu.tw ,表示所有csie的subdomin 都可以使用)
  • Security:
    • Warranty: 投保金額 (我覺得好像還好xDD)
    • Validation: Organization 的資料驗證(會影響憑證發放的時間,還有顧客信任度,但說實話,就網頁瀏覽我們系上的狀況應該沒差xDD)
    • SGC : 強制讓早期的瀏覽器使用128-bit encryption (早期通常是 40-bit,不過通常我們可以不考慮早期的瀏覽器吧xD)
  • 支援度:
    • 跟CA有關,現在幾乎各個瀏覽器都已經支援主要的CA
    • Fully support :  Verisign , Thawte 
    • 不支援 IE 5.X , Netscape:  Entrust,  Baltimore, InstantSSL
    • Opera支援度低(Opera 7↑) :  GeoTrust 
  • Misc:
    • Customer Service:  買國外的客服要講英文,買國內的不見得有24/7 的支援
    • Entrust 發過憑證給中國亂發憑證的,事件弄得很大(google 搜尋cnnic)
    • verify Domain 的價格大約一年3~4000元, verify Organization的通常一年都要上萬元!