SSL证书为什么贵？

[[330835]]

SSL证书为什么贵?事实上，SSL证书的价格在网络安全产品当中，是属于比较亲民的。目前，不同SSL证书的价格也是天差地别。有非常便宜的，也有很贵的，主要跟用户选择的类型有关。

SSL证书费用的成本来源

• 要进入各个浏览器的根证书列表，颁发证书的CA机构每年必须过 WebTrust 年度审计，是很大的开销。一些浏览器厂商还会对植入根证书列表的CA收费。
• 基础设施方面，CRL 和 OCSP 服务器成本。验证CSR是提交证书申请后，CA要做多项验证，越是高级的证书(比如EV)验证越麻烦。不固定开销，有些要花费很多人力和时间来完成。
• CA链费用，新开的CA公司要等5-10年，才会被普遍信任，才能广泛进入根证书链。要想速度加快点，就得给别的大牌CA公司掏钱，买次级证书。
• 要得到各个浏览器的信任，进入各个浏览器的根证书列表，CA公司每年必须过 WebTrust 年度审计，这是很大的开销;
• CA机构得给SSL证书买高额的商业保险;
• 验证CSR：就是提交证书申请后，CA要做多项验证，例如域名或者IP管理权限验证，申请者身份验证，有效联系方式验证，申请者提供的审核材料验证等等，越是高级的证书(比如EV)验证越费时费力，这些都是需要完善的系统和人工来进行;
• 有的属于老牌CA，在技术，信任度，品牌方面有着不一样的价值，例如贵如 Symantec SSL, 当然也有亲民的品牌，例如 Comodo/Sectigo;
• 由于SSL证书大多数都是国外品牌，这些服务产品要进入中国，还有相关的税费等等;

因此，SSL证书并不是像部分人认为的零成本，要具备发放可信SSL证书的资质，这本身就是一个很大的成本。

不使用SSL证书的后果

1. 数据泄露

之前我们使用的HTTP网站，用户信息基本上是全裸在互联网上的，对于隐私数据也只是加个MD5等加密算法，极易被黑客破解，这样就很容易造成数据泄露，这些对于小企业站来说影响范围不大，如果是大企业，站点用户比较多，那么长久之下会造成不小的冲击。

2. 钓鱼网站

如果不用ssl证书，很容易被钓鱼网站盯上，钓鱼网站常常会将用户引向一个精心设计的网站上去，该网站与原正规网站非常相似，但往往在里面隐藏着病毒木马，用以欺骗用户，当用户输入信息时，用户名密码等敏感信息被窃取。

3. 浏览器不信任

现在各个浏览器都支持使用https，都表示，将逐步对未使用SSL证书的网站页面标记为不安全，如果被浏览器不信任会比较麻烦。

不难看出，不部署SSL证书带来的损失是非常严重的，SSL证书有利于用户与网站之间建立安全的数据交互，树立可靠的品牌形象相比于SSL证书的价格来说，一年的价格可能还比不上几个客户的利润，所以SSL证书其实并不贵。

[[330836]]

有效降低损失，SSL证书真的不贵!

网站部署SSL证书后，采用HTTPS加密传输数据，规避浏览器 “不安全”警告，防止访客流失;用户数据高强度加密传输，防止流量劫持和数据泄露;严格认证网站身份信息，并通过证书内容及浏览器向用户展示网站真实身份，让用户能够轻松识别真实网站，免受钓鱼网站威胁，有效解决流量劫持、数据泄露、钓鱼攻击等几大网站安全问题并降低由此带来的损失，而这些并不需要花费昂贵的费用。