如何决定在哪里购买通配符SSL证书？

最近，我需要购买通配符SSL证书（因为我需要保护多个子域），当我第一次搜索购买地点时，我对选择的数量，营销要求和价格范围不知所措。我创建了一个列表，以帮助我查看通过的营销俩，即大多数证书颁发机构（CA）遍及整个站点。最后，我的个人结论是，唯一重要的事情就是CA网站的价格和愉快程度。

问题：除了价格和一个不错的网站之外，在决定在哪里购买通配符SSL证书时，我是否值得考虑？

我认为，关于决定在何处购买通配SSL证书，唯一重要的因素是SSL证书的第一年费用以及卖方网站购买和设置证书的愉快程度（即用户体验） 。

我知道以下几点：

• 关于担保的索赔（例如$ 10K，$ 1.25M）是营销marketing头 -这些担保可保护给定网站的用户免受CA向欺诈者（例如网络钓鱼网站）颁发证书而用户因此而蒙受金钱损失的可能性（但是，问问自己：是否有人在您的欺诈性网站上花费/损失了$ 10,000或更多？哦，等等，您不是欺诈者吗？

• 必须生成一个2048-bitCSR（证书签名请求）私钥来激活您的SSL证书。根据现代安全标准，不允许使用私钥大小小于2048位的CSR代码。在此处和此处了解更多信息。

• 权利要求书中99+%，99.3%或99.9%浏览器/设备的兼容性。

• 声称具有快速发行和易于安装的特点。

• 拥有退款保证担保是很高兴的（通常需要15天和30天）。

以下通配SSL证书基础价格（非销售）以及发行机构和转售商的列表于2018年5月30日更新：

 price |
/ year | Certificate Authority (CA) or Reseller
($USD) |
-------+---------------------------------------
    $0 | DNSimple / Let's Encrypt *
   $49 | SSL2BUY / AlphaSSL (GlobalSign) *
   $68 | CheapSSLSecurity / PositiveSSL (Comodo) *
   $69 | CheapSSLShop / PositiveSSL (Comodo) *
   $94 | Namecheap / PositiveSSL (Comodo) * (Can$122)
   $95 | sslpoint / AlphaSSL (GlobalSign) *
  $100 | DNSimple / EssentialSSL (Comodo) *
       |
  $150 | AlphaSSL (GlobalSign) *
  $208 | Gandi
  $250 | RapidSSL
  $450 | Comodo
       |
  $500 | GeoTrust
  $600 | Thawte
  $600 | DigiCert
  $609 | Entrust
  $650 | Network Solutions
  $850 | GlobalSign
       |
$2,000 | Symantec

* 请注意，DNSimple，sslpoint，Namecheap，CheapSSLShop，CheapSSLSecurity和SSL2BUY是经销商，而不是证书颁发机构。

Namecheap提供了Comodo / PostiveSSL和Comodo / EssentialSSL两种选择（尽管两者之间没有技术上的区别，只是品牌/营销-我问过Namecheap和Comodo这件事-而EssentialSSL的价格要高出几美元（100美元对94美元） ）。DNSimple转售Comodo的EssentialSSL，从技术上讲，它与Comodo的PositiveSSL完全相同。

请注意，SSL2BUY，CheapSSLShop，CheapSSLSecurity，Namecheap和DNSimple不仅提供最便宜的通配SSL证书，而且在我审核的所有站点中，它们的营销手段也最少。DNSimple似乎没有任何花哨的东西。这是最便宜的1年证书的链接（因为我不能在上表中链接到它们）：

• SSL2购买
• CheapSSLShop
• 便宜的SSL安全性
• sslpoint
• 便宜货
• 域名解析

截至2018年3月，Let's Encrypt支持通配符证书。DNSimple支持“让我们加密证书”。

要考虑的另一点是证书的重新颁发。

直到出现令人讨厌的错误，我才真正理解这意味着什么。我以为那意味着他们会给您第二份原始证书副本，我想知道需要这项服务有多混乱。但是，这表明，这并不意味着：至少某些供应商会很乐意为新的公共密钥加盖戳记，只要它在原始证书的有效期内有效即可。我想他们然后将您的原始证书添加到某些CRL中，但这是一件好事。

您之所以要这样做，是因为您已经损坏或丢失了原始私钥，或者通过某种方式失去了对该密钥的独占控制权，并且当然发现了OpenSSL中的全球性错误，这很可能导致您的私钥密钥是由敌方提取的。

伤心欲绝后，我认为这绝对是一件好事，现在在以后购买证书时请留意。

虽然价格可能是一个关键问题，但其他问题是提供商的信誉，浏览器的接受程度以及对安装过程的支持（具体取决于出现的问题，尤其是出现问题时，这取决于您的能力水平）。

值得注意的是，许多提供商都由同一高端公司拥有-例如Thawte和Geotrust，而我认为Verisign都归赛门铁克所有-但是Thawte证书比Geotrust贵得多，因为没有引人注目原因。

另一方面，由StartSSL颁发的证书（我没有敲，我认为他们的模型很酷）在浏览器中没有得到很好的支持，并且不具有与大型公司相同的可信度。如果您想在整个网站上贴上“安全安慰剂”，那么有时值得找一个更大的参与者-尽管通配符证书的重要性可能要比EV证书的重要性低得多。

就像其他人指出的那样，另一个区别可能是与证书相关联的“垃圾桶”-我知道我以前被指示只允许在单个服务器上使用Thawte EV证书，而后来我又获得了Geotrust证书说服管理层用它们代替它们不仅更便宜，而且没有此限制-Thawte施加的完全任意的限制。

您必须根据安全需要选择通配符SSL证书。

在购买通配符SSL证书之前，您必须了解以下提到的一些因素

1. 品牌的声誉和信任度：根据W3Techs最近对SSL证书颁发机构的调查，Comodo超过了Symantec，并以35.4％的市场份额成为最受信任的CA。

2. 类型功能或通配符SSL： Symantec，GeoTrust和Thawte等SSL证书颁发机构正在提供具有业务验证功能的通配符SSL证书。吸引更多的游客，也增加了客户的信任度。而其他CA，Comodo和RapidSSL仅提供带有域验证的通配符SSL。

赛门铁克的Wildcard SSL还提供了每日漏洞评估，该漏洞评估可扫描每个子域是否受到恶意威胁。

具有业务验证的通配符在URL字段中显示组织名称。

3. SSL价格：由于Symantec提供多种功能以及通配符，因此与Comodo和RapidSSL相比，其价格很高。

因此，如果您希望通过业务验证来保护网站和子域的安全，则必须选择Symantec，GeoTrust或Thawte，对于域验证，可以选择Comodo或RapidSSL。而且，如果您希望通过每日漏洞评估安装多层安全性，则可以使用Symantec的Wildcard Solution。