你打开浏览器,访问某个网站,地址栏左边有个小锁🔒。你知道这代表"安全",但你有没有想过——这个"安全"是谁说了算的?
答案是:CA。
CA 是什么?
CA,全称 Certificate Authority,中文叫证书颁发机构。
它的作用特别简单:替你的网站背书,告诉浏览器"这个网站是真的,不是钓鱼网站"。
你去办个公证,需要找政府认可的公证处,不能自己写张纸说"我证明我自己是好人"。SSL 证书也一样——必须由浏览器和操作系统认可的 CA 来签发,才会显示小锁头,否则浏览器直接报红色警告,把用户吓跑。
这个"被浏览器认可"其实是个门槛很高的事。Chrome、Firefox、Safari 背后都维护着一份根证书信任列表,想进这张名单,CA 必须通过严格的安全审计,遵守国际标准(比如 CA/Browser Forum 制定的规范),定期接受第三方审计。进了名单才算"合法 CA",签出来的证书才有效。
全球被主流浏览器信任的 CA 也就几十家,DigiCert、Sectigo(原 Comodo)、GlobalSign、Entrust 是其中市场份额最大的几个。国内有沃通(WoSign)等,但因为历史上被发现违规签发证书,2016 年被 Mozilla 和 Apple 移除了信任,后来虽然整改过,用之前还是要确认一下当前兼容情况。
CA 和 CA 之间,差别在哪?
既然所有 CA 签出来的证书浏览器都认,那买哪家的不是一样?
还真不一样,差别主要在这几块:
验证流程严不严
SSL 证书按验证等级分 DV、OV、EV 三种,关于它们的具体区别我在上一篇文章里讲得很详细了,这里不重复了。
简单说就是:DV 只验证域名,几分钟自动完成;OV 要核实公司真实性,人工审核几天;EV 审查最严,走完可能要一两周。
不同 CA 在执行这些验证时,严格程度也不一样。同样是 OV,有的 CA 打个电话问两句就过了,有的要求你提供公证过的文件。这直接影响证书的"含金量",也是为什么大企业倾向于选老牌 CA——他们的审核口碑和历史记录更可追溯。
有没有出过安全事故
CA 的核心是信任,一旦出事,代价极大。
历史上翻车的案例不少。荷兰的 DigiNotar 在 2011 年被黑客入侵,签发了大量假证书,事后直接倒闭,从浏览器信任列表里彻底消失。前面说的沃通,也是因为违规操作被踢出去的。
所以选 CA 的时候,成立时间、安全事故历史、有没有被浏览器处罚过,这些都值得查一查。老牌大厂在这方面口碑经过了更长时间的验证。
根证书覆盖面
技术上稍微深一点的差异:CA 的根证书是不是预装在所有主流设备里。
大品牌的根证书通常很早就进了 Windows、macOS、iOS、Android 的系统信任库,兼容性极好。有些新兴 CA 或者小 CA,根证书可能还没进某些老旧系统,碰上这种情况,用户访问你的网站会看到证书警告——哪怕你花钱买了证书。
这对大多数人来说不是问题(主流 CA 都没这个困扰),但如果你的用户会用到老设备、老系统,或者嵌入式设备,这一点就要格外注意。
那为什么价格差这么多?
搞清楚了 CA 是什么,价格问题就好理解了。
同样一张 DV 证书,Let's Encrypt 免费,某国产平台卖 199/年,DigiCert 可能要 1000+/年。加密强度一样,浏览器认可度一样,凭什么?
品牌背书和采购价值
DigiCert、GlobalSign 这类老牌 CA 在企业采购、合规审计、金融监管领域有特殊的背书地位。大公司买 SSL 证书,财务要报销、IT 部门要存档、法务要审合规,供应商资质很重要。
你买的不只是证书,是一个可以写进采购单的品牌名字。
这在个人用户看来是"智商税",但在企业采购流程里,是真实的需求。
赔偿担保(Warranty)
很多付费证书附带商业赔偿保险。如果因为证书问题(比如 CA 私钥泄露导致假冒证书出现)造成用户损失,CA 承诺赔偿一定金额。
DigiCert 高端证书的赔偿额可以到 175 万美元,Sectigo 入门级可能只有 1 万美元,Let's Encrypt 是 0。
实际上这个条款极少触发,更多是合同层面的保障,但在金融、医疗等对风险敏感的行业,这个数字会被认真看待。
客服和 SLA
Let's Encrypt 出问题了?去社区论坛发帖,等志愿者回复。 DigiCert 出问题了?打电话,有专属技术支持,合同里写明了响应时间。
企业级客户付的很大一部分钱,是在买出了问题有人背锅、有人处理这件事。
附加功能
一些高价证书会捆绑额外功能:证书管理平台、自动化续签 API、多域名/通配符支持、专属的证书监控服务……这些功能在管理几百张证书的大企业里有实际价值。
几个常见品牌,快速认识一下
| 品牌 | 定位 | 特点 |
|---|---|---|
| Let's Encrypt | 免费公益 | 全免费 DV,90 天有效期需自动续签,无商业支持,背后是 ISRG 非营利组织 |
| ZeroSSL | 免费+付费 | 类似 Let's Encrypt,付费版支持更长有效期和邮件支持 |
| Sectigo(原 Comodo) | 性价比之王 | 全球市场份额第一,价格实惠,DV/OV/EV 全线覆盖 |
| DigiCert | 企业高端市场 | 价格最贵,服务最好,金融/政府/跨国企业首选 |
| GlobalSign | 企业中高端 | 欧美企业常用,合规文档完善,亚太地区也有布局 |
| Entrust | 企业/政府市场 | 北美政府机构爱用,产品线包含身份和文档签名 |
那我到底该买哪个?
先说一个常见误区
"贵的证书加密更强?"
不是的。不管你买 199 的还是 19999 的,加密算法(TLS 1.3、AES-256)是一样的,这由服务器和浏览器握手时协商决定,跟证书品牌完全无关。
贵的证书买的是:更严格的身份验证、更有分量的品牌背书、商业赔偿保险、有人接电话的客服。
单纯从加密强度看,Let's Encrypt 跟 DigiCert 是一样的。
怎么选?
-
有老设备、老系统的兼容性需求 → 选 DigiCert 或 GlobalSign,他们的根证书进各大系统信任库的时间最早、覆盖面最广,碰到 Windows XP、老版 Android、嵌入式设备出问题的概率最低。
-
有合规或审计要求 → 选 DigiCert 或 GlobalSign 的 OV/EV。金融监管、等保、SOC 2 这类审计经常会问"你用的是哪家 CA",老牌大厂的名字在审计报告里更好过。
-
只是想加个锁头、没有特殊要求 → Let's Encrypt 完全够用,免费,主流设备兼容性没问题,唯一要注意的是 90 天有效期需要配置自动续签。
剩余还有个选择维度就是证书类型 DV/OV/EV,关于它们的区别和适用场景,我在上一篇文章里讲得很详细了,感兴趣可以去看看。
如果你想申请免费的证书,还想要自动续期、自动部署、临期告警等功能,CertFlow 可以帮你搞定一切证书管理的烦恼。