本文转载自微信公众号「新钛云服」,作者秦鸣。转载本文请联系新钛云服公众号。
随着互联网的发展,SSL网站安全证书已成为企业的一个标配。如未配备,你在访问公司站点时,会被提示该站点是不安全的。
目前SSL证书从域名类型来说分单域名SSL证书、通配符域名SSL证书,从证书类型来说分为域名验证型DV、组织型验证OV、扩展型验证EV......共5种ssl证书类别,从品牌来说又分国内和国外众多品牌,例如:DigiCert、Godaddy、Geotrust等等。
面对如此多类型和品牌,企业该如何选择?
这里我们详细阐述下如何选择SSL证书。以下会以阿里云平台上所能购买到的证书来举例。
SSL证书选择
1.按域名类型来选择
单域名SSL证书:
单域名证书适合域名数较少,且一段时间内不会有变化的公司。需要注意的一个细节是如果单域名证书保护的是www.domain.com这个域名的话那么domain.com这个域名也会被保护到。
而如果是非www的域名,如abc.domain.com的话那么domain.com这个域名不会被保护到。
多域名SSL证书:
有些供应商提供了多域名SSL证书,这个其实是和单域名证书是一样的,只是一个证书里包含了多个单域名。
通配符域名SSL证书:
通配符域名SSL证书是*.domain.com这样的域名。其中*可以用任意英文字母和数字以及-组成。这里需要注意的是不能有“.”。
例如:aaa.bbb.domain.com这样的域名仍然会被认为是不安全的。改成aaa-bbb.domain.com就没问题。
判断可能的原因是证书对域名的识别是从左往右识别的,这时它判断对应的二级域名为bbb不是它要保护的domain,所以会认为是不安全的。
2.按证书类型来选择
域名型证书(DV SSL证书):
信任等级一般,只需验证网站的真实性便可颁发证书保护网站而不验证营业执照。
组织/企业型证书 (OV SSL证书):
信任等级高,用于验证此域名由特定公司、组织、或者机构所拥有,同时申请的主体身份符合合法注册或者受权威机构承认的实体。
增强型证书 (EV SSL证书):
信任等级最高,证书颁发机构对此的审核比较严苛,一般用于银行证券等金融机构。增强型证书具有高级别可信度及安全性,显示带公司名称的绿色地址栏是它的显著特点之一。
3.按品牌来选择
DigiCert(原Symantec):
DigiCert是业界更受信任且广受尊重的高保障度证书提供商,为89%的财富500强企业、全球前100大银行中的97家银行以及全球87%的加密电子商务交易提供保护。
GeoTrust:
GeoTrust是DigiCert旗下子品牌。服务150多个国家和地区的10万多名客户,受世界各地、各类规模企业及组织信赖。
GeoTrust 品牌证书覆盖各类加密等级,性价比高,满足企业任何预算需求。
GlobalSign:
GlobalSign是全球权威的数字证书颁发机构(CA)之一。淘宝/天猫正在使用的同款品牌证书,全线产品支持RSA/ECC加密算法。专业版OV单域名证书支持公网IP申请,尤其适用于电子商务、直播、在线教育类企业网站,及对网站有双算法部署需求的企业用户。
CFCA(国产):
中国金融认证中心(China Financial Certification Authority,简称CFCA)是经中国人民银行和国家信息安全管理机构批准成立的国家级权威安全机构。
纯国产数字证书品牌,满足政府/金融等组织、机构国家监管需求。OCSP服务器本地化部署,有效提升HTTPS网站访问速度。同时,支持安卓6.0和IOS10.1及以上版本,含小程序。
vTrus(国产):
纯国产品牌,满足企业采购国产品牌的需求。兼容性是目前国产品牌中性能最优。
WoSign(国产):
WoSign是国产品牌,满足企业采购国产品牌,国密算法的需求。
性价比高,可实现双证书部署,网站更安全。
2016年曾经出过偷偷签发http://github.com的证书,被Mozilla停止信任。因此不建议购买该品牌证书。
以下为1个证书阿里云参考的价格表: