购买HTTPS证书9个步骤：

1. 确定需求：

   • 确定你的网站需要哪种类型的SSL证书（DV、OV、EV）。
   • 确定你需要支持的域名数量（单域名、多域名、通配符）。

2. 选择证书颁发机构（CA）：

   • 选择一个信誉良好的证书颁发机构，如DigiCert、Symantec、GeoTrust、GlobalSign等。

3. 比较价格和功能：

   • 在不同的CA或代理商之间比较价格和提供的服务，包括价格、支持、赔付保障等。

4. 购买证书：

   • 访问CA的官方网站或通过认证的代理商购买。
   • 填写必要的信息，包括域名、组织信息等。

5. 域名验证：

   • 根据证书类型，完成域名验证（DV）、组织验证（OV）或扩展验证（EV）。

6. 安装证书：

   • 一旦验证通过，CA会颁发SSL证书。
   • 将证书安装到你的服务器上。这通常涉及到上传证书文件和私钥。

7. 配置服务器：

   • 确保服务器正确配置，以便使用SSL证书。

8. 测试SSL配置：

   • 使用在线工具如SSL Labs的SSL Server Test来测试你的SSL配置是否正确。

9. 更新和续订：

   • 记住证书的有效期，并在到期前更新或续订。

1. DV（域名型）SSL证书：

   • 45SSL品牌，单个域名：45元/年。
   • Rapid品牌，单域名：378.00元/年。
   • Globalsign品牌，单域名：1683.00元/年。
   • Wosign品牌，单域名：748.00元/年。
   • vTrus品牌，单域名：840.00元/年。

2. OV（企业型）SSL证书：

   • Globalsign品牌，单域名：2609.60元/年。
   • Digicert品牌，单域名：3500.00元/年。
   • Geotrust品牌，单域名：1804.60元/年。
   • vTrus品牌，单域名：2800.00元/年。

3. EV（企业增强型）SSL证书：

   • Digicert品牌，单域名：5600.00元/年。
   • Geotrust品牌，单域名：3500.00元/年。
   • CFCA品牌，单域名：7000.00元/年。

4. 多域名和通配符SSL证书：

   • 45SSL品牌，多域名：90元/年。
   • Geotrust品牌，多域名：3850.00元/年。
   • SecureSite品牌，多域名：11200元/年。
   • vTrus品牌，通配符：6000.00元/年。

1. DV（域名验证）证书：这是最基本的证书类型，仅验证域名的所有权。价格相对较低，通常在42元至1500元人民币每年。
2. OV（组织验证）证书：这类证书除了验证域名外，还会验证申请者的企业信息。价格适中，大约在800元至15000元人民币每年。
3. EV（扩展验证）证书：这是最高级别的证书，它不仅验证域名和企业信息，还会对企业的合法性和声誉进行深入验证。因此，价格相对较高，大约在5000元至2万元人民币每年。

具体到某些证书品牌和型号的价格：

• DV（域名型）SSL证书：45SSL品牌，单个域名，价格为45元/年。
• OV（企业型）SSL证书：CERTUM品牌，单个域名，价格为500元/年。
• EV（增强型）SSL证书：SecureSite品牌，单个域名，价格为8992元/年。

最近，由于一起利用 .mobi域名的WHOIS服务器漏洞非法获取 TLS 证书的事件，Google 在 CA/Browser 论坛上提议禁止使用 域名注册的联系人电子邮件地址(WHOIS电子邮件) 来验证域名控制权。该提案建议从 2025 年 1 月 15 日起，禁止证书颁发机构 (CA) 使用 WHOIS电子邮件 来验证域名联系人，并禁止使用之前的WHOIS域名验证记录。

尽管 DigiCert 对当前提案持保留意见，认为其未充分考虑 ICANN 和 Amazon 提出的合理建议，但仍支持逐步淘汰过时的 WHOIS 协议。预计该提案将有很大可能通过。

对用户的影响
如果提案通过，从 2025 年 1 月 15 日起，用户将无法再使用基于 WHOIS 的电子邮件域名控制验证 (DCV) 方法来证明对域名的控制权。此外，CA 也不再基于之前的WHOIS验证记录来重新颁发或续订证书，用户需要采用其他 DCV 方法重新验证域名。

用户应采取的措施
如果提案通过，从 2025 年 1 月 15 日起，用户需要使用其他 DCV 方法来证明对域名的控制权。如果你希望继续使用邮件认证方式来证明对域名的控制权，你可以采用以下2种方式之一：

使用5个特定电子邮件地址（admin@[域名], administrator@[域名], webmaster@[域名], hostmaster@[域名], postmaster@[域名]）来接收授权邮件。
创建一个DNS域名解析记录，记录类型为TXT，主机记录为_validation-contactemail，记录值为您的email地址，你将可以使用此email地址接收授权邮件。

6月27日，Google的安全团队宣布将在Chrome127及更高的版本中，不再信任自2024年11月1日以后签发的Entrust SSL证书。但在2024年10月31日以前签发的证书依然会被信任，能够继续正常工作。据悉，这一决定和Mozilla在今年3月到5月间发现Entrust存在的一系列安全错误有关，Entrust在这一系列错误中未能及时提出更正意见或解决问题，导致了Google的这项决定：
EV TLS Certificate cPSuri missing
Failed to provide a preliminary incident report according to TLS BR 4.9.5

CPR was not responded to in 24 hours

Delayed revocation of EV TLS certificates with missing cPSuri

EV Certificate missing Issuer’s EV Policy OID

Delay in Updating CPS

Failure to revoke EV TLS certificates issued before CPS update

clientAuth TLS Certificates without serverAuth EKU

Delayed revocation of clientAuth TLS Certificates without serverAuth EKU

CPS typographical (text placement) error

Delayed incident report - CPS typographical (text placement) error

Not updating Problem Reporting Mechanism fields in CCADB

OCSP response signed with SHA-1

CRL non-conformance with the TLS BRs

默认情况下，Chrome127及以后的版本，在验证到以下 Entrust 根的 TLS 服务器身份验证证书（其最早签名证书时间戳 （SCT） 的日期在 2024 年 10 月 31 日之后）将不再受信任。

CN = Entrust Root Certification Authority - EC1

CN = Entrust Root Certification Authority - G2

CN = Entrust.net Certification Authority (2048)

CN = Entrust Root Certification Authority

CN = Entrust Root Certification Authority - G4

CN = AffirmTrust Commercial

CN = AffirmTrust Networking

CN = AffirmTrust Premium

CN = AffirmTrust Premium ECC