V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
013231
V2EX  ›  SSL

为何很多互联网巨头(Google, Amazon, Facebook, etc.)并不使用 EV 级别的 SSL 证书?

  •  
  •   013231 · 2015-01-27 18:12:35 +08:00 · 6198 次点击
    这是一个创建于 3612 天前的主题,其中的信息可能已经有所发展或是发生改变。
    28 条回复    2015-01-28 13:09:21 +08:00
    ryd994
        1
    ryd994  
       2015-01-27 18:26:20 +08:00
    EV不便宜,没必要而已吧,技术上没难度,就是换个证书而已
    DV防中间人足够了。
    EV主要是能防钓鱼(绿色地址栏,这样就算有人搞了个钓鱼域名还签出了证书也没用)
    一般的网络服务并不需要这样的防钓鱼,能加密防中间人足够了
    futursolo
        2
    futursolo  
       2015-01-27 18:40:14 +08:00
    @ryd994
    不对不对,主要是他们子域名太多了,买EV不能用通配符,太贵了。
    所以直接发OV的通配,注意是OV不是DV。
    另外,再多的EV他们也能付的起,但是他们不想用SNI来支持多证书,也不想为不同的域名配置单独的IP。
    再者说了,管理这么多张证书也是个麻烦事。。。
    BlueFly
        3
    BlueFly  
       2015-01-27 18:47:42 +08:00 via Android
    @futursolo 一样有多域的EV证书的
    ryd994
        4
    ryd994  
       2015-01-27 19:20:10 +08:00 via Android
    @futursolo 谷歌除了appspot其他地方不用通配符的好吧
    typcn
        5
    typcn  
       2015-01-27 19:22:12 +08:00
    @futursolo 首先 Class 3 证书是有通配符的。 其次完全可以部署一张通配符证书用作默认证书,支持 SNI 的客户端在访问主域名的时候再使用 C3 证书
    0okmnbvcxzx
        6
    0okmnbvcxzx  
       2015-01-27 19:22:24 +08:00 via Android
    @BlueFly 多域!=通配符,按规定EV证书不能用通配符
    BlueFly
        7
    BlueFly  
       2015-01-27 19:25:15 +08:00 via Android
    @0okmnbvcxzx 一样有通配符的EV证书, digicert.com 有卖
    azuis
        8
    azuis  
       2015-01-27 19:25:15 +08:00
    @ryd994 谷歌用通配符的一大堆

    DNS Name=*.google.com
    DNS Name=*.android.com
    DNS Name=*.appengine.google.com
    DNS Name=*.cloud.google.com
    DNS Name=*.google-analytics.com
    DNS Name=*.google.ca
    DNS Name=*.google.cl
    DNS Name=*.google.co.in
    DNS Name=*.google.co.jp
    DNS Name=*.google.co.uk
    DNS Name=*.google.com.ar
    DNS Name=*.google.com.au
    DNS Name=*.google.com.br
    DNS Name=*.google.com.co
    DNS Name=*.google.com.mx
    DNS Name=*.google.com.tr
    DNS Name=*.google.com.vn
    DNS Name=*.google.de
    DNS Name=*.google.es
    DNS Name=*.google.fr
    DNS Name=*.google.hu
    DNS Name=*.google.it
    DNS Name=*.google.nl
    DNS Name=*.google.pl
    DNS Name=*.google.pt
    DNS Name=*.googleadapis.com
    DNS Name=*.googleapis.cn
    DNS Name=*.googlecommerce.com
    DNS Name=*.googlevideo.com
    DNS Name=*.gstatic.cn
    DNS Name=*.gstatic.com
    DNS Name=*.gvt1.com
    DNS Name=*.gvt2.com
    DNS Name=*.metric.gstatic.com
    DNS Name=*.urchin.com
    DNS Name=*.url.google.com
    DNS Name=*.youtube-nocookie.com
    DNS Name=*.youtube.com
    DNS Name=*.youtubeeducation.com
    DNS Name=*.ytimg.com

    (反正他们自己就是中级CA..想发什么发什么
    futursolo
        9
    futursolo  
       2015-01-27 19:26:40 +08:00
    @ryd994
    。。。blogspot,googleusercontent,etc.
    顺便给你贴一张微软的ev证书的使用者可选名称(不动请谷歌)好了。
    DNS Name=login.live.com
    DNS Name=loginnet.passport.com
    DNS Name=msnia.login.live.com
    DNS Name=pst.microsoftpassportsupport.net
    DNS Name=api.login.live.com
    DNS Name=tools.login.live.com
    DNS Name=xml.login.live.com
    DNS Name=nexus.passport.com
    DNS Name=login.passport.com
    DNS Name=msnialogin.passport.com
    其次,google在很多地方都有地方搜索,所以,它的证书的使用者可选名称是这样的:
    DNS Name=*.google.com
    DNS Name=*.android.com
    DNS Name=*.appengine.google.com
    DNS Name=*.cloud.google.com
    DNS Name=*.google-analytics.com
    DNS Name=*.google.ca
    DNS Name=*.google.cl
    DNS Name=*.google.co.in
    DNS Name=*.google.co.jp
    DNS Name=*.google.co.uk
    DNS Name=*.google.com.ar
    DNS Name=*.google.com.au
    DNS Name=*.google.com.br
    DNS Name=*.google.com.co
    DNS Name=*.google.com.mx
    DNS Name=*.google.com.tr
    DNS Name=*.google.com.vn
    DNS Name=*.google.de
    DNS Name=*.google.es
    DNS Name=*.google.fr
    DNS Name=*.google.hu
    DNS Name=*.google.it
    DNS Name=*.google.nl
    DNS Name=*.google.pl
    DNS Name=*.google.pt
    DNS Name=*.googleadapis.com
    DNS Name=*.googleapis.cn
    DNS Name=*.googlecommerce.com
    DNS Name=*.googlevideo.com
    DNS Name=*.gstatic.cn
    DNS Name=*.gstatic.com
    DNS Name=*.gvt1.com
    DNS Name=*.gvt2.com
    DNS Name=*.metric.gstatic.com
    DNS Name=*.urchin.com
    DNS Name=*.url.google.com
    DNS Name=*.youtube-nocookie.com
    DNS Name=*.youtube.com
    DNS Name=*.youtubeeducation.com
    DNS Name=*.ytimg.com
    DNS Name=android.com
    DNS Name=g.co
    DNS Name=goo.gl
    DNS Name=google-analytics.com
    DNS Name=google.com
    DNS Name=googlecommerce.com
    DNS Name=urchin.com
    DNS Name=youtu.be
    DNS Name=youtube.com
    DNS Name=youtubeeducation.com
    这是使用了通配的情况下,如果把子域名全加上,列表会有多长?
    Q:如果是你,你会不会一张一张办证书?
    futursolo
        10
    futursolo  
       2015-01-27 19:27:46 +08:00   ❤️ 1
    @typcn EV是没有的,根据 CA/Browser 论坛的协定,EV不允许签发通配符证书。如果签发 EV 的通配符,是违背了 CA/Browser 的协定的(CA/Browser 是 CA 和各大浏览器厂商组成的非营利性论坛组织)。
    futursolo
        11
    futursolo  
       2015-01-27 19:31:53 +08:00   ❤️ 2
    @BlueFly EV Multi-Domain不是通配符,WildCard才是通配符。
    BlueFly
        12
    BlueFly  
       2015-01-27 19:37:28 +08:00
    @futursolo 嗯,搞错了
    ryd994
        13
    ryd994  
       2015-01-27 20:08:33 +08:00 via Android
    @futursolo
    @azuis
    学习了
    typcn
        14
    typcn  
       2015-01-27 20:11:57 +08:00
    @futursolo 谷歌完全可以只给搜索加 EV 证书,那些静态域名又无所谓
    futursolo
        15
    futursolo  
       2015-01-27 20:28:50 +08:00
    @typcn
    不是说了嘛,管理那么多证书很麻烦。。。
    其次如果对搜索单独对待的话,要么给搜索单独准备一份IP列表,要么使用SNI。单独准备IP对于CDN的部署很不利,甚至可以说是很麻烦,Google的工作人员还要处理单独的DNS记录,这都是不可取的;使用SNI的话,IE7及以下的浏览器都要被舍弃,不要说在哪里,在天朝就不合适,Windows XP的占有率仍在第一,用IE6的也大有人在。
    还有,比搜索更需要EV的地方多了去了,Google Wallet,Google Cloud Platform,Google Play Store等等,为什么给搜索加?不要说那是Google主业,老外看重的是需求,也就是必要性。再说,Google都有中级证书颁发机构了,发什么不行,只要看一下不是Google Internet Authority G2发的,一律都是伪造,不发EV也肯定有他们的考虑,Google的人不敢说多聪明,但是一定不傻。CA都买了还不发EV,这肯定是经过多轮论证的,而且拉里·佩奇肯定知情。
    seki
        16
    seki  
       2015-01-27 20:39:11 +08:00
    MS 才是各种乱,有 MS 自己给自己签的,https://insider.windows.com/ https://www.bing.com/

    还有不同的自己给自己签的,https://azure.microsoft.com/zh-cn/

    也有 verisign 签的和 symentec 签的(虽然这两家是一家人) EV, https://www.microsoft.comhttps://login.live.com/
    typcn
        17
    typcn  
       2015-01-27 20:49:15 +08:00
    @futursolo 为什么不能用 SNI ? 不支持 SNI 的客户端输出通配符证书,带 SNI 的客户端输出 EV 证书。

    结果只是 不带 SNI 的客户端看不到绿色地址栏而已
    sumhat
        18
    sumhat  
       2015-01-27 22:34:01 +08:00
    EV 和普通的证书提供的安全性是一样的,加上 EV 无非是在地址栏上好看一点。对于访问 Google 来说,地址栏上已经有 google.com,多加一个 google.com 完全没有意义。
    aaronlam
        19
    aaronlam  
       2015-01-27 23:09:29 +08:00 via iPad
    EV貌似就是增加品牌识别度吧?
    msg7086
        20
    msg7086  
       2015-01-27 23:15:18 +08:00 via iPhone
    @typcn ¬_¬ 槽点太多。

    EV证书就是为了防止DV证书伪造的,你还主动返回DV混淆用户…
    SharkIng
        21
    SharkIng  
       2015-01-27 23:18:10 +08:00
    好像是不是他们这种自己能签的不能直接签EV?
    typcn
        22
    typcn  
       2015-01-27 23:52:18 +08:00
    @msg7086 何必在意那些用 IE6 的用户 23333
    andybest
        23
    andybest  
       2015-01-28 00:07:40 +08:00
    我用 IE 10.0.11,怎么访问任何一个 https 站点都没见过地址栏全部是绿色的?

    谁给个 EV 级地址栏通绿的域名测试下?
    wdlth
        24
    wdlth  
       2015-01-28 00:17:38 +08:00
    本来FB有EV的,但是不知为何不上了。
    vibbow
        25
    vibbow  
       2015-01-28 07:23:20 +08:00   ❤️ 1
    xoxo
        26
    xoxo  
       2015-01-28 09:34:25 +08:00
    不关SNI的事
    而是巨头公司有很多需要使用泛域名的场景, 所以就不能用EV。
    futursolo
        27
    futursolo  
       2015-01-28 13:00:32 +08:00
    @typcn
    根本原因是没有必要,不要纠结了孩纸,洗洗睡吧。

    上EV满足的只是像你这种人的虚荣心而已。
    typcn
        28
    typcn  
       2015-01-28 13:09:21 +08:00
    @futursolo 毕竟大公司,自己名头就在那,要是个小公司就能大大增加用户的信任感,毕竟看着高端。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4783 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 09:54 · PVG 17:54 · LAX 01:54 · JFK 04:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.