付费版本的SSL证书最低到底是谁?Sectogo？Certum?

前言

这个话题是小周在今天部署证书时突然想到的，都知道SSL证书的时间在缩短，小周也在推进SSL自动部署的进程，基本上大都数的网站都已经完成了自动部署以及到期监控。

小周个人比较喜欢的CA有SSL.COM和Certum这两个CA。有人可能会问Sectigo和Digicert这两个呢？

先说这两个CA的证书单从信任度来讲，都很好.

小周不是很喜欢Sectigo的原因是之前买过Sectigo的一些证书，但是后来被吊销过两次，因为是从某宝上面买的，可能是通过一些漏洞签发出来的，然后Sectigo应该没有收到钱，后来漏洞被发现，然后就吊销了从漏洞中签发出来的证书（猜测-具体某宝那些证书怎么来的我也不知道，吊销原因也没有去深究）。

至于Digicert，之前Encryption Everywhere免费的时候，说实话，真的很喜欢用他家的。当时还记得当时从华为云上签的他的免费版的，确实好用。但是自从各个CA不再提供免费版的一年期的SSL证书之后，Encryption Everywhere的价格也涨起来了，阿某云卖68每张，火山也是卖68每张（每个账号前5张6.8元），确实有点高，再加上小周本身是学生，确实有点高（有人可能要说，那你为什么不用Let's、ZeroSSL、Google SSL，当时每个服务器ACME只能通过命令控制，还要配置定时任务，很繁琐，并不想配置那么多，而且当时ACME的续签失败率很高，而且很容易出现SSL证书过期了，但是自己没有发现，最后好心网友来提醒你，SSL证书过期了）。

其他的CA，像GlobalSign、Actalis、Entrust之类的CA，单域名的价格都卖的很高，确实不适合个人用户。如果各位朋友有低价的渠道，也可以跟小周说说（微信：zwwandtx）hahaha~

为什么会比较喜欢SSL.COM和Certum?

SSL.COM感觉是很稳定的一个CA服务商，其实小周之前大一的时候想做CA的代理（hahaha~而且那会还没有多少钱），那会跟SSL.COM的商务经理吧，发邮件，用我的撇脚英语，是很多CA中为数不多能够提供免费体验证书的，当时恳求了很久，对面应该是个很好的姐姐，当时免费给了15张的单域名和5张通配符，一年的，虽然最后因为价格没有谈拢，那时确实钱不够。而且当时刚开始说的是测试结束要吊销的，但是最后也没有给我吊销，CRL检测和OCSP检测到最后也是正常。所以对SSL.COM的第一印像很好，包括现在基本上很多自动化部署的证书，我也是部署的SSL.COM的证书。也许你也发现了，这个博客站的SSL证书，也是SSL.COM的证书。

Certum是我感觉当前价格又低又稳定的SSL证书服务商，是由欧洲的Unizeto公司运营的CA。Certum根证书受信也很好，价格也很低，是我当前付费证书的首选。Certum当前一年期的单域名SSL证书一般在15元、通配符在130左右。Certum给我的第一感觉也是很好，那是大一想做代理，也是找了Certum的，但是那是我的钱只够使用Pay As You Go也就是随用随付模式，当时给的价格单域名是5美元、通配符是30美元（DV）。那会接待我的也是一个刚入职的姐姐，也是通过邮件沟通，最后发现她有微信，最后加上了微信继续交流。Certum的这个姐姐也是，最后商讨价格商讨到了还是使用随用随付模式，单域名给到了3美元/张，通配符20美元左右/张。但是那个姐真的很有耐心，当时在知道我没有那么多钱代理时，我斗胆问了白标模式的价格（hahahaha~现在想起真的是，没钱还想做中间CA），但是那个姐姐还是很耐心跟我说白标模式的价格。

有没有必要选择国内响应节点的证书？

先说什么是国内响应节点：浏览器在查询证书的吊销状态时，会用到OCSP（Let's的SSL证书已经不再支持此项）和CRL，这两个说简单点会在检查证书有效与否时，请求证书中的留下的OCSP的URL和CRL的URL，你可以在证书的详细信息中找到这两个。

1.国外响应节点

比如：这是小周博客站使用的SSL.COM的证书，下面是CRL链接。

通过直接测试延迟如下：

延迟看起来还可以，但是，是使用的亚马逊云的CDN，其实国内还是比较慢。

这是SSL.COM留下的OCSP响应链接：

OCSP的测速如下：

速度也差不多，毕竟都是使用的亚马逊云的CDN。

2.国内响应节点

这里以腾讯云的国内响应节点为例，腾讯云是借助Sectigo根证书签发的中间CA，也是使用的Sectigo国内响应节点：

3.对我们的影响

可以看出，相较于SSL.COM国外的响应节点，国内响应节点的速度快了不止一星半点。最直观的感觉是有些时候打开网站的速度，有些时候你会发现网速明明很好，而且网站也是使用了国内的CDN，但是偶然打开网站很慢，可能就是因为在查询证书状态时造成的影响。

对于OCSP，如果你使用的国内CDN，例如阿里云、腾讯云、华为云等等，都支持OCSP Stapling，CDN可以预先查询并缓存在线证书验证结果，在与浏览器进行TLS连接时返回给浏览器，浏览器无需再次前往CA站点查询，从而减少用户验证时间。

个人觉得，个人网站不用过多是否国内响应节点，首先是目前国内的中间CA也好，还是有自己根CA的服务商也好，价格相对稍高，对个人用户不是很友好（当然如果你是企业用户或者有充足预算的玩家，选国内也没有什么问题。）

个人推荐（非打广告）

个人觉得如果你要使用付费版的SSL证书，推荐使用Certum，Certum的证书首先感觉比较稳定，其次价格比较低。

下面是Certum的证书响应节点，Certum是使用的Akamai，在此之前，Akamai的速度很快，但是由于Akamai退出中国市场，中国节点的关闭，在中国的速度也受到了影响。

但是总体来说，速度还是不错的。

如果你想使用的是免费版，个人建议你还是使用ZeroSSL或者Let's的证书，优点是相对于SSL.COM而言，这两个证书的信任相对较好，SSL.COM的证书是2016年签发的根证书，相对而言信任没有ZeroSSL的根Sectigo和Let's好，很多稍老的设备都不信任。

如果你用的腾讯云EdgeOne，你可以试试双证书，例如小周部署的mirror.bks.plus使用的ECC证书为SSL.COM的证书，RSA证书为Certum的证书。这样可以尽量减少不信任SSL.COM的设备、浏览器识别为Certum，从而受信。