如今，越来越多的网站开始申请SSL证书来保护用户的隐私和数据安全，而免费的SSL证书的出现让许多网站运营商暗暗自得其乐。但是这个免费午餐真的很便宜吗？免费的SSL证书通常通过程序自动将申请人或机构的信息与所申请域名的信息进行匹配，只要匹配一致，无需人工检查即可获得证书。这种证书只能验证域名所有权，而不能验证组织，即不能验证服务器身份，从而留下了很大的安全漏洞和隐患。黑客只需验证域名信息就可以轻松获得证书，从而为自己披上看似可信的外衣。这时，https仍然可以起到加密传输的作用，但是信息传输的目的已经从一个真正的网站服务器变成了黑客的“钓鱼”服务器。信息加密就像皇帝的新装，黑客很容易从用户那里获取敏感信息。除了黑客“网络钓鱼”的风险之外，使用免费的SSL证书还有许多限制。例如，免费证书只能绑定一个域名，不支持通配符域名。同样，这种“免费午餐”相关服务也会大大减少。大多数免费的SSL证书都是用户自己安装的，不能提供售后服务和技术支持，当证书遇到问题时也不能及时解决。此外，一些品牌的免费SSL证书有效期较短，需要每三个月更新一次。到期后，许多用户很容易忘记续订。因此，在目前免费证书认证机制不完善的情况下，天威程心建议，为了用户和网站的安全，特别是涉及用户隐私和金融交易的大型企事业单位网站和电子商务平台，管理员应避免使用免费的SSL证书。如果网站安装了由Digicert/Symantec/Geotrust颁发的OV或EV SSL证书，当您单击地址栏中的锁定图标时，它会显示网站身份已由Digicert验证，表明网站证书和身份是真实可靠的。一般来说，免费SSL证书的申请过程虽然简单，但只支持加密功能，无法验证服务器的身份，存在很大的潜在威胁，不推荐企业使用。