SSL证书类型
数字证书DV证书、OV证书和EV证书三种类型的SSL证书。不同类型证书的安全性、支持的证书品牌和适用的网站类型不同,具体如下表所示
| 证书类型 | 适用网站类型 | 等级 | 认证强度 | 支持的证书品牌 |
|---|---|---|---|---|
| DV(域名型) | 个人网站 | 一般 | CA机构审核个人网站真实性、不验证企业真实性 |
GlobalSign
vTrus(国产)
WoSign(国产)
|
| OV(企业型) | 政府组织、企业、教育机构等 | 高 | CA机构审核组织及企业真实性 |DigiCert
GeoTrust
GlobalSign
vTrus(国产)
CFCA(国产)
|
| EV(企业增强型) | 大型企业、金融机构等 | 最高 | 严格认证 |DigiCert
GeoTrust
CFCA(国产)
|如果您的网站主体是个人(即没有企业营业执照),只能申请免费型或DV型数字证书。
对于一般企业、移动端网站或接口调用,建议购买OV及以上类型的数字证书。
对于金融、支付类企业,建议购买EV型证书。
SSL证书品牌
下表为您说明数字证书管理服务支持的SSL证书品牌(即对应的CA供应商)。
| 证书品牌 | 说明 |
|---|---|
| DigiCert | DigiCert(原Symantec)是知名的数字证书颁发机构、值得信赖的SSL证书品牌,所有证书都采用业界先进的加密技术,为不同的网站和服务器提供安全解决方案。 |
| GeoTrust | GeoTrust是知名的数字证书颁发机构,也是身份认证和信任认证领域的领导者,采用各种先进的技术使任何大小的机构和公司都能安全、低成本地部署SSL数字证书和实现各种身份认证。 |
| GlobalSign | GlobalSign是较早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的CA和SSL数字证书提供商。 |
| CFCA(国产) | 中国金融认证中心(CFCA)通过了国际WebTrust认证,遵循全球统一鉴证标准,是国际CA浏览器联盟的组织成员。 |
| vTrus(国产) | vTrus是一个国产证书品牌,满足企业采购国产品牌SSL证书的需求。 |
| WoSign(国产) | WoSign是一个国产证书品牌,满足企业采购国产品牌SSL证书的需求。 |
SSL证书支持域名类型
| 域名类型 | 说明 |
|---|---|
| 单域名 | 单域名是指一个证书只能保护一个主域名或一个子域名或一个公网IP(IPv4)。例如,www.aliyundoc.com。 |
| 多域名 | 多域名是指一个证书同时绑定多个单域名。 |
| 通配符域名 | 通配符域名是指对应一个主域名及其次级域名的所有子域名。 |
| 例如*.aliyundoc.com,可以匹配www.aliyundoc.com(下一级子域名)、d1.aliyundoc.com、d2.aliyundoc.com、dn.aliyundoc.com 等 | |
| 混合域名 | 混合域名证书是指包含单域名、通配符域名和公网IP的证书。 |
SSL证书支持的加密算法
以下是SSL证书支持的加密算法的说明。
- RSA:目前应用广泛的非对称加密算法,兼容性好。
- ECC:椭圆曲线公钥密码算法。相比于RSA,ECC是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。
- SM2:国家密码管理局发布的ECC椭圆曲线公钥密码算法,在中国商用密码体系中用来替代RSA算法。目前只有部分品牌及类型的证书支持ECC和SM2算法,支持情况,请参见SSL证书支持的加密算法。
下表为您说明SSL证书不同品牌支持的加密算法类型。
| 证书品牌 | 证书类型 | RSA | ECC | SM2 |
|---|---|---|---|---|
| DigiCert | OV | 是 | 是 | 否 |
| EV | 是 | 否 | 否 | |
| GeoTrust | DV | 是 | 否 | 否 |
| OV | 是 | 是 | 否 | |
| EV | 是 | 否 | 否 | |
| GlobalSign | DV | 是 | 否 | 否 |
| OV | 是 | 是 | 否 | |
| CFCA(国产) | OV | 是 | 是 | 是 |
| EV | 是 | 否 | 否 | |
| vTrus(国产) | DV | 是 | 否 | 否 |
| OV | 是 | 否 | 是 | |
| WoSign(国产) | DV | 是 | 否 | 是 |
说明 国密算法证书安装通常是PEM格式,下载后通常包含四个文件:
签名证书:server_sign.pem和server_sign.key。 加密证书:server_enc.pem和server_enc.key。