我希望这不是一个太宽泛的问题(如果是的话,我很乐意缩小范围)。
我们已经创建了一个小型CRM网络应用程序,我们希望保护用户的数据(我们永远不会存储信用卡详细信息,但会存储电子邮件)。
我们是整个SSL / HTTPS的新手。有没有人对哪种证书类型有任何建议?我看过它们从12英镑到1200英镑不等!
提前致谢!
答案 0 :(得分:1)
昂贵的证书颁发者通常会向您收取他们确认您确实是您的工作时的费用。他们会打电话给你,在商业登记处检查你。这背后的合理性是攻击者可能会欺骗一个更便宜的证书发行人给他一张带有你名字的SSL证书。攻击者很难获得虚假,昂贵的证书。
然而,这里的问题是最终用户实际上不可能看到昂贵和廉价证书之间的任何差异。您购买昂贵的证书并不以任何方式阻止攻击者欺骗廉价发行人给他一张证书。
因此,除非您有非常有用的用户,实际上可以看到您的昂贵证书与冒充者廉价伪造之间的区别,否则没有技术理由购买昂贵的证书。
特殊类型的证书称为EV证书。它们更昂贵,并会在您的浏览器地址栏中生成绿色背景或类似信号。如果您的用户会注意到这一点,这可能会有所不同。
另一个问题是,许多廉价发行人实际上是较昂贵公司的子公司,实际上会给你完全相同的证书。即您从Rapidssl获得的证书曾经与您从更昂贵的Geotrust获得的证书相同(这可能已经改变)。
最后一点。确保证书颁发者实际上被大多数浏览器识别。只要您使用合理知名的发行人,这就不是问题。