最近几年有很多人为了利润,诚信意识淡薄,开始用套牌非原厂SSL证书阉割版的产品向社会销售,这种做法岂不负责,而且影响社会良好信誉,有案例某公司向用户出售高达10年的SSL证书,但服务不到2年就跑路了,用户直接联系根证书厂家,厂家告诉他该产品并不是原厂SSL证书,另外在这里不允许出售10年的SSL证书,顶多3年计划的订单。
对此小编了解到,大部分机构1-3年订单,只有Sectigo厂家支持5年的订单。世界还没有哪个厂家支持6年以上的订单,所以这一点你要谨慎,全球4大机构可以申请SSL证书订单年限:
GlobalSign(官方最长1年,代理商最长3年)
DigiCert\RapidSSL\GeoTrust(官方最长3年,代理商最长3年)
Certum(官方最长1年,代理商最长3年)
Sectigo(官方最长6年,代理商最长5年)
什么是原厂SSL证书?
原厂SSL证书是指产品是厂家封装的正品产品,售后服务及业务关系都和厂家有着直接关系,从而避免经销商跑路,厂家不认的问题,同时解决了SSL证书来源及合规问题。
那么如何保证自己可以申请到原厂SSL证书?
首先该提供商要承诺提供的SSL证书必须是CA机构厂家原封,Root根证书-ICA中间证书-订户证书整条证书链都是CA机构原厂SSL证书,
如果要符合国产化并且OCSP国内原厂SSL证书支持吗?
目前有2家机构符合国产化,其中一家还支持本地化,分别是:
GlobalSign、DigiCert(GeoTrust)
GlobalSign机构在中国有独立的主体公司和团队,当然也是目前全球仅剩支持100%兼容性的机构了,价格不是很高,而且他的产品不会有歧视更不会有差异化,相比而言比较良心,任何一个产品他们的OCSP都支持国内网络,意味着无论你选择DV还是OV还是EV都相同,目前无论国内还是国外他的用户主要都是世界上的大佬,比如:百度、谷歌搜索引擎,谷歌还用GlobalSign做交叉链实现自己的品牌证书发布,国内的京东、淘宝、腾讯等会选择,因为历史中安全事故最少的一家,也是稳定性比较高的一家。
DigiCert机构其实最早是不知名的公司,因为收购了赛门铁克的SSL证书业务后成名,为了也许业务他将赛门铁克旗下的品牌用创建不同的中间证书来区分定价,国内懂SSL证书的人,他们都会考虑选择GeoTrust,这是因为他性价比最高,并且他其实和Secure Site、Secure Site Pro一模一样,这是因为他们的根证书是相同的兼容性,包括安全都一样,只是中间证书换个名,懂得SSL证书的都知道,SSL证书的安全性看的是根证书,不过有的金融单位还以为他是赛门铁克的产品到今天为止还在延续...然而在国际主流银行他们都只用DigiCert Basic正常的标配产品,因为他们知道赛门铁克是因为安全问题才将这个盘卖给了DigiCert。如果你在考虑OCSP问题你需要选择他们的DigiCert或者GeoTrust产品才支持,在国内也有独立的公司。
企事单位在哪里申请比较好
如果你要在国内获得发票,那么只能在原厂授权的提供商申请,如果不需要发票或者只要支付凭证那么这种情况下可以去原厂官方网站申请。
关于价格原厂授权的提供商价格低一些,并且活动空间还是比较大的,相反就没有了,这是行业的标准,因为市场体量比较大而且涉及到各个国家及语言,所以厂家通常在一个国家会放出3个授权原厂提供商提供服务。
识别原厂厂家,只要看他是不是专门从事数字证书业务的,如果你看到他有什么9001质量体系、安全等级等和SSL证书无关的资质,然后公司经营业务五花八门,这种公司通常不是原厂授权提供商,顶多是个二级代理。
总结
正规的SSL证书提供商是不会打电话做营销广告的,更不会打电话通知你到期了,也不会给你什么返利或者购物卡,如果看到这样的提供商,通常是套牌SSL证书或者就是没有授权的提供商。
原厂SSL证书提供商是选用原厂SSL证书前提,选的时候主要看有没有授权书。另外是国内的兼容性65%国产SSL证书只有一家CFCA,如果号称99%兼容性包括历史浏览器版本肯定是套牌或者做的交叉链套用的信任链。
关于国内SSL证书厂家资质:电子认证服务许可证、电子认证服务使用密码许可证、电子政务电子认证,如果你考到这个公司没有这些资质,然而没有中国根证书颁发机构,却号称自己国产SSL证书的,那么这种证书直接排除。
