关于ssl证书你应该知道的一些事

目前大部分站点为了安全都已经实现了全站https,今天就来详细聊聊ssl证书相关内容

1、SSL证书类型

自定义证书:顾名思义就是就是自己通过私有协议定义的数字证书,受信任等级也是最低的。如果自己做实验也是可以研究一下的。在Windows Kits中有一个工具——makecert.exe,可以用来制作自定义的签名证书,方法非常简单,可以上网搜一下,然后再用signtool.exe给相应的应用签名即可。还有类似的工具如openssl、cfssl也很好用。

DV证书:域名验证型证书,证书审核方式为通过验证域名所有权即可签发证书。此类型证书适合个人和小微企业申请,价格较低,申请快捷,但是证书中无法显示企业信息,安全性较差。如果是部署在web网站上,浏览器中显示锁型标志。DV SSL是企业/个人为纯信息展示类网站获得公信力的基础保证,拥有它才意味着您的网站所有权已经过严格审查。DV证书签发无人工审核,域名验证信息校验成功后,1-15分钟自动签发。如您的域名含有.edu、.gov、.org、.jp(国家缩写)、.pay、.bank、.live、.nuclear等特殊词,签发机构需要人工严格验证您的身份,为避免签发失败,建议选购vTrus国产品牌证书。

OV证书:企业验证型证书,证书审核方式为通过验证域名所有权和申请企业的真实身份信息才能签发证书。目前OV类型证书是全球运用最广,兼容性最好的证书类型。此证书类型适合中型企业和互联网业务申请。如果是部署在web网站上,浏览器中绿锁、安全和https的标记, 并能通过点击查看到企业相关信息,安全加密算法强度更高,适合对数据安全有更高要求的中小型企业。对于政府、学术机构、无盈利组织或涉及信息交互的企业类网站来说,一张OV SSL证书才能向您的用户证明您的网站真实可靠、安全可信,赢得他们的信赖。OV证书支持同品牌、同规格多张证书合并,实现单域名、通配符域名混合申请及管理,大大提高证书维护效率,降低运营难度。申请流程比较繁琐,需要验证企业身份,比如企业的营业执照,电话验证等。CA机构人工审核材料,资料正确的情况下审核周期一般为3-5个工作日。

EV证书:增强验证型证书,证书审核级别为所有类型最严格验证方式,在OV类型的验证基础上额外验证其他企业的相关信息,比如银行开户许可证书。EV类型证书多使用于银行、金融、证券、支付等高安全标准行业。如果是部署在web网站上,浏览器上有绿锁、安全和https的标记,并显示完整的单位名称。加密性能好,最大程度的标识出网站的可信级别。对申请者做严格的身份审核验证,信任等级高。适合如金融、保险、银行等有更高安全要求的机构和组织。EV 证书是最高级别的权威版本。拥有网站最高的信任等级,各行各业龙头企业首选证书类型。拥有它,意味着您的网站在确立域名所有权后,已相继对企业身份、法律地位和地址进行过了重重验证。EV证书支持同品牌、同规格多张证书合并,实现单域名、通配符域名混合申请及管理,大大提高证书维护效率,降低运营难度。CA机构人工审核材料,资料正确的情况下审核周期一般为7-10个工作日。

2、证书品牌

证书品牌

说明

补充说明

Digicert

Digicert(原Symantec)是全球第一大数字证书颁发机构、全球最值得信赖的SSL证书品牌,所有证书都采用业界领先的加密技术,为不同的网站和服务器提供安全解决方案。

CFCA

中国金融认证中心(CFCA)通过了国际WebTrust认证,遵循全球统一鉴证标准,是国际CA浏览器联盟的组织成员。CFCA提供全球信任证书,由中国权威数字证书认证机构自主研发,纯国产证书。CFCA提供7×24小时金融级的安全保障服务,且有完善的风险承保计划。提供中文版全球信任体系电子认证业务规则(CPS),便于用户理解双方权利和义务。

说明 CFCA服务器证书目前不支持苹果iOS 10.1及10.1以前的版本,不支持安卓6.0及以前的版本。

GeoTrust

GeoTrust是全球第二大数字证书颁发机构,  GeoTrust是DigiCert旗下子品牌,也是身份认证和信任认证领域的领导者,采用各种先进的技术使任何大小的机构和公司都能安全、低成本地部署SSL数字证书和实现各种身份认证。 服务150多个国家和地区的10万多名客户,受世界各地、各类规模企业及组织信赖;

GlobalSign

GlobalSign是全球最早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的CA和SSL数字证书提供商。 淘宝/天猫正在使用的同款品牌证书,全线产品支持RSA/ECC加密算法;

3、证书区别

类型/区别

DV SSL证书

OV SSL证书

EV SSL证书

审核内容

域名所有权

域名所有权、企业信息

域名所有权、企业信息、第三方数据核查(GoDaddy、邓白氏、114、律师函)

颁发周期

几分钟-几小时

3个工作日左右

7个工作日左右

使用年限

1-2年

1-2年

1-2年

证书可信度

较高

最高

浏览器显示形式

https+小锁标志

https+小锁标志

https+小锁标志+绿色网址+企业名称

适用对象

中小型企业网站、电子商务网站、电子邮局服务器、个人网站等

企业网站、电子商务网站、证券、金融机构等

银行、保险、金融机构、电子商务网站、大型企业等

价格

DV证书价格便宜(1000元左右)

OV证书中等(5000元左右)

EV证书价格最高(10000元左右)

单个域名的DV证书有免费版可以申请:

DV:

OV:

EV:

如何区分DV、OV、EV证书?

打开站点,点击小锁–》证书查看证书的详细信息,找到使用者信息:

DV:

OV:

EV:

通过对比图可以看出:在使用者一栏中,DV型证书只会显示域名信息OV型证书会显示域名+单位名称等信息,EV证书比OV证书多了很多其他信息,最明显的区别是显示了序列号等信息,这是EV证书特有的字段,而其他类型证书所没有的。

注意:在老版本的浏览器中如果是EV级别证书可能会直接显示绿锁还有公司名称,新版谷歌、火狐需要点击绿锁才能显示,实测IE、Edge(老版)还能显示

4、申请流程

5、证书保护域名类型

通配符域名:

如果您需要保护一个主域名和这个主域名下所有的某一级子域名,请选择通配符域名(泛域名)类型。

  • 申请通配符域名证书时一定要在域名开头加上*, 例如:*.yozocloud.cn。

  • 1张一级通配符域名(*.aliyun.com)证书:该证书可以保护主域名自身aliyun.com和该域名的所有一级子域名,如a.aliyun.com、b.aliyun.com、c.aliyun.com等;不可以保护该域名的二级或二级以上子域名,如1.a.aliyun.com、1.1.a.aliyun.com、1.b.aliyun.com、1.1.b.aliyun.com等。1张二级或二级以上通配符域名(*.a.aliyun.com)证书:该证书可以保护该域名的所有同级域名,1.a.aliyun.com、2.a.aliyun.com、3.a.aliyun.com等;不可以保护该域名的下级子域名,如1.1.a.aliyun.com、2.1.a.aliyun.com等,也不可以保护该域名的主域名a.aliyun.com。

单域名:

如果您需要保护1个主域名或子域名(非通配符域名),请选择单个域名类型。

例如:购买1张GeoTrust品牌OV多证书保护多个单域名,那么该证书可以保护aliyun.com、a.aliyun.com、b.aliyun.com、1.a.aliyun.com、abc.com、1.abc.com等。

  • 无论证书品牌是哪种类型,DV SSL证书只能保护1个域名。

  • 如果您需要保护多个主域名、子域名,包括同一个域名下不同级别的多个域名或者不同的域名及其子域名,可在域名个数模块选择您需要保护的域名个数。OV企业级SSL和EV增强级SSL域名证书可以保护的域名个数为1~250。选择单个域名证书您需要注意以下几点:

a、由于DV SSL证书只能保护1个域名,如果您需要保护1张证书保护多个域名,请选择OV企业级SSL或EV增强级SSL、不要选择DV域名级SSL证书。阿里云多域名证书支持追加域名,但首次申请证书时必须填写最少3个域名;如果首次申请证书时填写的域名少于3个,后续将无法追加其他域名。

b、多域名申请必须填写3个以上域名,您购买了1张多域名证书保护10个域名,首次申请证书时,如果在证书绑定域名中填写了3个域名并提交申请,后期如果您需要再保护其他的域名,请提交工单(本示例中,您后续可追加不超过7个域名)。

6、证书类型的选择

随着网络的普及,互联网攻击事件也日益增多,越来越多的企业开始意识到HTTPS加密的重要性。无论是企业想要将网站从HTTP升级为HTTPS,还是做出一个具有系统信任等级更高的客户端时,选择一个靠谱的SSL证书就成了非常必要的前提条件。然而,市场上的SSL证书五花八门,往往让我们无从选择。对于领域新人来说,如果我们不知道怎么选择,其实,可以先看看市场上其他应用都使用的什么证书。然后再根据企业自身不同的规模和业务类型做出最佳的选择。

腾讯会议:OV

钉钉:OV

阿里云:OV

永中优云:OV

可以看到目前主流的互联网公司基本都是使用的OV级别证书,DV证书目前几乎快被市场淘汰了,自定义证书就更不建议使用了。市面上现在使用最多最广的就是OV和EV证书,如果是面向公众提供服务、有用户账户登录、有多个应用需求,多个域名需要部署可以考虑购买OV型证书,方便用户快速识别网站真实性,实现全网SSL。如果需要实现在线交易、有高价值的数据保密需求(比如涉及商业秘密的视频会议)可以考虑购买EV型证书,提供最高安全性。

END

添加微信免费获取完整网络安全方案
微信号:landuiYY

未经允许不得转载:云技术 » 关于ssl证书你应该知道的一些事

赞 (0)