免费证书真的安全吗？

免费证书真的安全吗？答案当然是否定的，如今，越来越多的网站开始选择申请SSL证书对用户隐私和数据安全加以保护，而免费SSL证书的出现则让很多网站运营者偷偷乐了一把。但这样的免费午餐是不是真的占到了便宜呢？
免费SSL证书往往通过程序自动匹配申请人或机构信息和所申请的域名信息，只要匹配一致就能获得证书，不需要人工审核。这类证书只能验证域名所有权，无法对组织进行验证，即无法验证服务器身份，因此留下了很大的安全漏洞和隐患。黑客只需验证域名信息就能轻松获得证书，从而为自己披上看似可信的外衣。而此时的https仍可起到加密传输的作用，但信息传输的目的却由真实网站的服务器变成了黑客的“钓鱼”服务器，信息加密也就如同皇帝的新衣，黑客抓取用户敏感信息就变得探囊取物般轻而易举。
除了黑客“钓鱼”的风险外，免费SSL证书在使用时还有诸多限制。比如：免费证书只能绑定单个域名、不支持通配符域名等。同样的，这类“免费的午餐”相关服务也会大打折扣，大多数免费的SSL证书都由用户自行安装，无法提供后期服务和技术支持，在证书遇到问题时，也无法及时得到解决。另外，某些品牌的免费SSL证书有效期过短，每三个月就要更新一次，到期后还要自己申请，很多用户很容易就会忘记续期。
在目前免费证书身份验证机制还不完善的情况下，出于对用户、网站自身安全的考量，管理员应避免使用免费SSL证书，尤其是大型企业或机构网站、涉及用户隐私及金融交易的电商类平台更不能选择“免费的午餐”。如果网站安装了Digicert/Symantec/Geotrust颁发的OV或EV型SSL证书，当你点击地址栏中的锁型图标时，显示网站身份经DigiCert认证，说明该网站证书、身份真实可靠。
总的来说，免费SSL证书虽然申请流程简单，但仅支持加密功能，无法验证服务器身份，由此引发的潜在威胁较大，并不建议企业机构采用