真有人花钱买 ssl 证书？

个人和小微企业几乎不需要 但正常企业肯定需要啊。 现在阿里云的免费的有效期 3 个月了 恶心的一批

我用 tx 云的，免费 1 年

我也搞不懂为什么有人买这个
caddy 不是自带吗

@ffLoveJava ACME 不就搞定了

@lstz 现在只有三个月了

@evill
用在 CDN 上的证书能用 ACME 吗

我们公司买了，能用公司钱解决的就不要省钱

@azev 我个人也用 caddy 。但是对于企业来说，肯定选择更靠谱的 nginx 。

额，你这问题问的，就像“Linux 不是免费的吗？为什么要去买红帽的商业版？”

人家买的不是证书，而是服务啊。

稍微正规点的公司，应该都不要个人去搞。
假设出了问题算谁的

价格某种程度上可以理解为保费，一种服务。而不是这张保单（证书）本身值多少钱。因证书没有行使加密职能或因证书造成的其他安全问题。是需要赔付的，可以理解为保费越高赔付额度越高

一直用的 certbot + cron
阿里还有点恶心，非阿里云买的证书自动上传部署次数都有限制

😅？
大公司的信誉背书不要钱？审计不要钱？退一万步，OCSP 不要钱？

有人大发慈悲施舍你一口饭，不代表这个饭就应该是免费的😅

免费证书我用 acme.sh, 如果企业信誉相关还是得买付费证书

之前一直用阿里云免费的，然后昨天踩坑了，新的免费证书兼容性很差，很多客户用 Java 发送 Https 请求都报错，证书校验不通过，原因是新的证书使用了新的根证书，很多 jdk 没有内置

acme 不能签发 EV 证书，而且 acme 签发的证书很多额外的用途是没有启用的

@aaronkk cron 都不用，certbot 官方推荐 snap

花的是老板的钱，心疼什么？

额，我这么说，如果签出的证书因为各种莫名其妙的原因突然用不了，谁来背锅。

相比其他理由，几万块一年找个背锅侠对正常规模的商业公司很便宜。

所谓的智商税，买的就是他人的智商（服务、设计、售后等）。
一直觉得你们嫌弃的智商税，在多个产品都有，比如 iPhone 本身的溢价，不光是品牌的溢价，也有是设计系统的成本的溢价、售后和服务的溢价，这就是买了 Apple 智商税。

你深以为然的智商税其实是省掉了你自己的成本，并不是省掉了服务。
你觉得真有人花钱买是个傻逼，但人家买的是 *.name.com 不限子域名的通用符。
买的是多个设备的兼容性
买的是它的声誉
买的是筛选掉部分成本。

这话，其实也像是山姆/Costco 会员，260/680 元左右的一年你觉得贵，谁会傻逼办卡就为了进超市消费，结果排队三小时多的是，你觉得聪明还是他们蠢得不行？还是钱多没处花？

再说这贵的离谱，根本就不是像你那种群体的「目标消费群体」。

举个栗子，有些公司的防火墙规则里，是会阻止用 let's encrypt 签发的证书建立 SSL 链接的...

@Mikawa 支持 ACME 的证书不少，没必要赖在 LE 上签发。我早就转 Google 证书了，ZeroSSL 也不是不能用。

花钱买 SSL 证书主要是为了买他的保险。
至于这个保险会不会赔付，那就不是你关心的问题了。

智商税也有其存在的意义，有人付了智商税，其他人才有机会用到更廉价的产品。
比如说经常有人问，飞机头等舱商务舱卖那么贵，可能是经济舱五倍十倍的价格，不是冤大头吗？但是如果一架飞机没人买头等舱商务舱，航空公司要挣同样的钱，就得把经济舱票价拉高来弥补。所以如果没有人做冤大头，那人人都会是冤大头。

如果是正规的商业合作，对方用的是贵的证书，我会觉得对方经济实力更值得信赖

@wclebb 只要需要花钱的地方, 程序员都觉得是智商税

@wy315700 #5



腾讯云依然是一年

对于企业来说这点钱不是钱

人家网址前面有个大绿标或者大蓝标，你免费的有吗

🤔呃...只能说这免费的证书虽然大家都在用，但确实只适合测试或小规模使用，本身以前就收费的东西，就像 14 楼说的，现在各厂商施舍个免费证书给你用，不代表这饭就是免费的。

可以不买啊。如果是为自己的 app 提供服务，那可以用自签名证书，还能避免被劫持。或者你的服务是用户强需，可以要求用户安装你的根证书

那买域名岂不更是智商税了？

let's encrypt 项目之前, 基本没有免费好用的 ssl 证书, 现在嘛... 只能说买收费证书的都是有钱的主

说是智商税我只等说你根本不懂 TLS
并不是有免费的存在就说明它就没有价值

EV 的只能买

有些环境不支持自动续签，3 个月手动换证书不麻烦吗？
我大部分用免费的，但也有部分用付费的（很便宜，泛域名 30 元/年）

看到这个标题，突然不知道该怎么回复了。。。
感觉 OP 对 SSL 证书认知，连启蒙阶段都还没到，就开始大言不惭地来“发表看法”了。

首先，给你看一下 digicert 对 SSL 证书的对比：
https://www.digicert.com/tls-ssl/compare-certificates

其次对于稍有点规模的公司来说，一次证书问题的损失都够买几年甚至几十年证书了。

这标题，似乎不承认每个东西都有价值。
付费域名证书确实很多优势，只不过可能你用不到所以看不到

tailscale 服务一定要证书 用 acme.sh 就很巴适

一个企业每几个月都要折腾免费证书续期吗？万一出了问题？一次买几年不香？泛域名不香？

省下来的钱又不会发工资，那为什么还要搞免费，而且出了问题还要自己处理，上面只会赖你技术不行，付费有问题可以直接客服处理啊，而且还能一键部署到其他云服务上，怎么看都是得付费啊

自己用直接用 cf 代理下，服务器用自签名证书

按照楼主的逻辑：

真有跨境电商花钱找运营商办专线？

贵的离谱。这玩意不也是智商税吗🌚就不能公司路由器上挂工具翻吗🌚

这个“智商税”买的可不止是证书，还有包括售后在内的一大堆服务。
你个人使用可以找免费的，证书出了问题也没什么损失。
但公司不一样，证书出了问题，每秒少赚的钱都够办多少个证书了，跟割肉一样，你说他们会不会花钱买服务买心安？

你们没理赔过吗, 你们以为的赔偿是巨额赔偿么,都不够洗个 Jio 的

有这时间浪费早赚了大几千了

能花钱节约生命为何不呢？

一年 2000 在 LZ 看起来是智商税。。那这个公司没什么好讨论的。。连 2000 都觉得贵

我有这个需求，请问你可以给我提供免费的嘛？
https://www.digicert.com/tls-ssl/multi-domain-ssl-certificates

就算是公司的股东，有些事能花钱解决，也不要想着去用免费的。

好的时候没事，出问题就挡着。 还是少惹事。

怎么说呢，之前金融公司，特地花钱买的 EV 证书，就为了地址栏上的小绿条

证书的意义就是权威机构认证，认证肯定要费用。用免费的证书对于企业来说太掉价了。看着就不正规

OP 开个公司的话，肯定连社保都不舍得给员工交😅

@pkoukk letsencrypt 支持，参考 https://community.letsencrypt.org/t/how-do-i-obtain-a-multi-domain-certificate/57976

Chrome 早就取消 EV 的绿条了。LE 就可以签多域名和通配证书。至于掉不掉价可以看看用 LE 的主要网站列表，当然每个人看法可能不一样。

certbot 申请完证书后，怎么自动上传到阿里云并更新到 slb 上？
应该可以通过 api 做，但是感觉很常见的需求却没有开源的？

个人用跟企业用完全是两码事

@lisxour 这不是早就取消了，现在要点击小锁，点开证书详情才能看到。

1. 相当于保险。出现 SSL 相关漏洞造成损失，CA 有责任赔付
2. OV/EV 有信任加成
3. 有效期更长，减少运维成本（以前还可以长达三年五年，现在最多只能 1 年了）
4. （从采购视角）证书利润较高，相应的返点也比较高，花公司的钱鼓自己的腰包，何乐而不为
5. 有些特殊用途的证书目前只能花钱买，比如代码签名

@nicholasxuu 怎么说呢，我们去支持了阿里腾讯华为的 CDN ，阿里还额外支持了负载均衡/函数计算等一些，这都是业务有使用到的，，，如果去开源，可能要把需要 SSL 的产品都兼容。

可以还是自己写一个 API 吧，还是比较方便的。

你可能不知道，更新一次证书走流程所需要的人力成本远高于证书签发的费用

@jsq2627 免费证书兼容性有问题, 比如我们的一个微信小程序, 当时开发自己申请了免费 ssl, 后来发现每次 api 都要慢几秒.

开始以为数据库有问题, 后来查了好久, 才发现某些版本的微信, 对于免费 ssl 证书解析好像有问题, 会有好几秒的额外耗费时间

@EdmondGUO 我猜是的, OP 如果开了小公司, 估计又是一个 "黑心老板"

我用 certbot 免费的，会不会有问题？

，程序员自信的反呛道。

也有稍微便宜些的

@helone #53 多谢

免费的证书和高等级的完全不能相比，拖拉机和保时捷的差别，不要觉得大公司里面决定买证书的人比你傻。或者找个各种级别的证书差异在哪里，对比看看免费的是否有这个功能。

这个问题下面竟然没有一个真正直击痛点的回答，全是在装逼的。。

@skyworker #61 服务器开启 OCSP Stapling 加速解析

@kkk9 多谢

大公司还是要买的，还要买贵的那一种.

泛域名解析需求...
控标参数需求...
等保合规需求...
金融需求...
等等...

这么多需求了
不要用个人玩具网站的思维去套政企、金融等等真实世界的场景
但凡网站有了一定规模 免费 ssl 你想都没办法用

退一万步讲
云厂商给”没人购买“的 ssl 证书定价 是给自己年底计算 KPI 的时候找不痛快吗？

我觉得买可以理解啊 虽然自己也能折腾 但是话几块钱 不用折腾 也挺值得吧

正经公司买了，直接配置下就能用，不香吗？非得自己折腾。。。

有免费的支持 *.xx.com 的证书吗，有的话告诉我一下

我倒是觉得这明明就是浏览器厂商和证书厂商联合起来收的房租，所谓解决的痛点大部分都是房东专门设计出来恶心租客的。
现在反倒是租大别墅的租客开始鄙视租低价廉租房的租客，还嘲讽廉租房租客房间里没有游泳池

没上过班 才觉得智商税 见识需要提高

@litchinn ACME 用 ZeroSSL 免费签的证书就支持泛域名的，其它 CA 应该也有，出来很久了

@litchinn #75 ZeroSSL

webtrust 不要钱？机房建设，运营不要钱？

楼上很多说了一堆，解释了一堆，其实如果是国外的网站，不做国内业务，那么你可以得到：

1.域名免费
2.ssl 证书免费
3.托管免费
4.客服系统免费
5.数据库免费

基本上你能用到的都可以找到免费的服务（有些有额度限制），所以尽量去做出海，谁错成本太低了，没有什么心智负担。

@pengtdyd 直接套一个 cf 万事大吉，证书免费先不说，cdn 流量也是免费，哈哈哈哈哈

你是哪来的自信在没有了解的情况下直接锐评 SSL/TLS 的，开发者测试服务或者部署个自己的站点犯不着用那些 EV 证书，不代表商业公司和一些金融机构不需要，你有能耐你把自签证书或者 Let's Encrypt ZeroSSL 的证书往这种服务上部署一下

感觉。。。有点儿想笑。
感觉有点儿像开上廉价轿车的人在嘲讽买豪华车的人，虽然这个例子不是特别恰当。
不过这个帖子承包了我们搞安全的群里半天的笑料。

用了 caddy+cloudflare 插件，再也没有操心过证书的事儿

@skyworker 你遇到的是 Let's Encrypt OCSP 地址被墙，但这不是因为“免费”造成的。

因为这个问题下面竟然没有一个真正直击痛点的回答，全是在装逼的。。
所以我同意楼主, 花钱买 ssl 证书就是交智商税

cloudflare 解决 99%的墙外连接问题

@xiedingdaoren #84 如果出海业务花钱买 SSL 证书呢？

@vfx666 cf 的 cdn 商用也是要钱的

大企业需要绿色提示，所以只有付钱买。

没错，我都是自签的！ :doge

@jsq2627 那就是商业价值的问题了. 付费的 ssl 供应商, 能保证自己不会被墙, 免费的不提供这种服务.

这就是付费的价值

想当年 12306 用 windows 自颁发的证书。

WebTrust 是由全球两大著名注册会计师协会 AICPA （美国注册会计师协会）和 CICA （加拿大注册会计师协会）共同制定的安全审计标准，也是电子认证服务行业中唯一的国际性认证标准，主要对互联网服务商的系统及业务运作逻辑安全性、保密性等共计七项内容进行近乎严苛的审查和鉴证。

WebTrust 认证是各大主流的浏览器、微软等大厂商支持的标准，是规范 CA 机构运营服务的国际标准。在浏览器厂商根证书植入项目中，只有通过 WebTrust 国际安全审计认证，根证书才能预装到主流的浏览器而成为一个全球可信的 CA 认证机构，从而实现浏览器与数字证书的无缝嵌入。


谁来监管证书颁发机构？

如果认证机构负责 SSL 验证和撤销，那么谁来监管它们？ 要回答这个问题，让我们来考察一下参与这一复杂过程的各方。

浏览器和应用程序

浏览器和应用程序定义了管理 CA 的规则。 所有浏览器的安装包（也称为根存储）中都包含受信任 CA 的信息。 只有当公共 CA 的根已经在根存储中标记为可信时，浏览器才会接受公共 CA 签发的 SSL 证书。

并非所有浏览器都有自己的可信根存储。 它们还依赖于客户操作系统的根存储。 如果 CA 的根签发的数字证书不在浏览器或操作系统的根存储中，浏览器会警告用户不要信任 SSL 证书。

但浏览器如何确定要信任哪些 CA 根呢？ 嗯，他们一直都有关于 CA 应如何运作的预定规则。 此外，他们还在不断改进，以建立高端安全标准。

随着时间的推移，他们已经成功淘汰了 MD5 和 SHA-1 等较弱的算法。 他们还删除了过时的密钥大小，如 512 位和 1024 位。 如果 CA 不符合浏览器的详尽要求，就会从浏览器的受信根存储中删除。



HTTPS 有个重要的一环就是证明”张三是张三“，并且是通过权威的 CA 机构颁发的证书来证明所持公钥的合法性，在那节我们提到，CA 就是神，而顶级 CA 就是众神之神，这些神是绝对公平客观，不造假不作恶，对吧？那现实中这些神的表现又怎么样呢？绝大部分的 CA ，尤其是顶级 CA 肯定是严格遵守规则的，否则一旦出问题，另外一个大神浏览器和操作系统就会把他们的 CA 证书从信任列表移除，然后它们就得跌下神坛，离破产也不远了。但除了顶级 CA ，还有相当多的中间 CA 机构，另外神也有打盹的时候啊。


站在 CA 机构运营者的角度看，CA 机构也有一定的运营成本和责任和准入门槛。不能因为有部分公司提供免费的，就完全否认付费的。