完成验证流程后,证书机构(CA)便会颁发SSL证书给组织或个人。每个证书机构都有不同的产品、价格、证书功能和不同程度的客户满意度,但是在决定使用哪一个证书机构时,你需要看的东西屈指可数。因为大多数证书机构提供的产品都具有相似的功能,所以在考察一个证书机构时,最重要的是比较客户服务、价格和安全性口碑。


客户服务


即使你是一个经验丰富的服务器管理员,在部署SSL证书时,你都很有可能需要获取一点帮助。选择一个拥有良好客户服务和管理界面的证书机构将使得你的工作更加简单。因此,确定一个CA的客户服务的最好的方式是阅读证书机构的相关评测。


价格


一些CA是免费的,而一些针对一年期的单个证书则会收取高达1500美元的费用。通常来说,你支付的金钱越多,你就是在为更好的品牌、更好的服务和更好的工具而付费,但是免费的证书也能拥有1500美元的证书所拥有的相同的加密。而通常,你都会想要选择最低的价格,同时在客户支持、品牌和界面可用性方面达到要求。


安全性口碑


所有证书机构都必须通过一些评审,因此从理论上来说,它们都是安全的。然而,许多不同规模大小的CA都曾在安全上犯过较大的错误,因此,我们知道它们并不是同样安全的。Thawte、VeriSign、StartCom、诸如CerStar等的Comodo代理商、赛门铁克和DigiNotar都有着不同程度的安全漏洞。因此,你将想要不时关注SSL新闻,以了解一个证书机构是否把其系统的安全问题作为头等大事来抓。


其他问题


采用新技术的速度有多快。互联网安全总是在不断进行变化和改进。当发现新的漏洞时,选择把采用和添加诸如证书透明性、证书锁定和像SHA-2和ECDSA那样的最新的算法当作头等大事的提供商,这是十分重要的。


品牌。如果你的客户在你的网站上看到了特定的证书机构名,他们会更加信任你吗?大多数访问者都不关心这一点,但是对一些用户来说,这就可能会成为一个问题。


你不需要比较什么?


浏览器兼容性。所有证书机构基本上都支持现代的浏览器。甚至对于最新的CA也是如此,因为它们会与一个更老的CA交叉签署证书,以提高兼容性。然而,如果你运行的服务(想一想谷歌或脸书)流量巨大,且包括一些使用过时技术(如黑莓,对Android的预览或Windows 98)的用户,那么较老的CA可能才允许这些用户访问你的服务。这通常是不可取的,因为这样的话,使用了较老的、易受攻击的软件用户便很有可能遭受其他攻击。通过鼓励客户更新到现代的浏览器和设备,你便是帮了你自己和你的用户一个大忙。


证书功能。CA的证书功能几乎都是相同的,都拥有着同等水平的加密。因此,忘了那些诸如SGC等的、听起来十分特殊的功能吧。


公有密钥基础设施(PKI)是一个复杂的概念,涉及到硬件、软件、不同政策和标准,而在管理SSL证书以保护互联网时,这些都是必需的。PIK允许你:


  • 比标准用户名和密码更为安全地认证用户


  • 加密敏感信息


  • 更为有效地对文档进行电子签署