HTTPS är de facto säkerhetsprotokoll för webbkommunikation. Faktum är att de flesta moderna webbläsare är starkt drifter webbplatsägare att använda HTTPS, som kräver att webbservrar ska presentera ett giltigt SSL-certifikat istället för dess osäkra alternativa HTTP. Detta innebär att om du äger en äldre webbplats som använder HTTP, är chansen stor att du så småningom kommer att behöva flytta till HTTPS och skaffa ett SSL-certifikat.
Men när det är dags att köpa ett certifikat kan du konfronteras med olika certifikattyper, var och en med många tekniska funktioner. Här på SSL.com Vi förstår att det kan vara förvirrande att välja lämpligt certifikat, och av den anledningen har vi skapat den här artikeln som en guide till möjliga certifikattyper och hur vi kan utvärdera om de passar dina behov.
Certifikattaxonomi
Oavsett typ måste alla certifikat utföra en viktig funktion: binda en offentlig nyckel till en specifik identitet för en person, företag eller organisation.
Med det sagt, certifikatmyndigheter (CA) som SSL.com kan utfärda certifikat för många olika syften, allt från att säkra små webbplatser till att skydda storskaliga tjänster inom den offentliga sektorn eller webbplatser för e-handel. Varje fall kan ställa olika krav i certifikatpolicy eller funktionalitet, vilket är anledningen till att flera certifikattyper finns.
Mer specifikt finns det två egenskaper som skiljer SSL-certifikat. Dessa är:
- Nivån på godkännande en CA utför information om den potentiella certifikatägaren och
- d antal och typ av domännamn (t.ex
example.com,mail.example.com,*.example.comosv.) som ett certifikat stöder.
Valideringsnivå
CA: er är ansvariga för att verifiera identiteten för alla blivande certifikatköpare innan de utfärdar ett certifikat. Beroende på certifikattyp kan emellertid dessa valideringskontroller sträcka sig från enkla automatiska tester för att bevisa domänkontroll (för domänvaliderade certifikat) till grundlig manuell undersökning av bevis, bekräftelse via tredjepartsdatabaser och mer (för utvidgade valideringscertifikat).
Ju högre certifikatets valideringsnivå är, desto mer förtroende kan läggas till certifikatet. Användare kan lättare lita på en webbplats som har ett utökat valideringscertifikat med högriskutbyten (t.ex. betalningar eller delning av privat information), eftersom en betrodd CA har verifierat ägarens identitet.
Eftersom det är viktigt för säkerheten, erkänner webbläsare valideringsnivån för ett certifikat genom att visa speciell grafik i adressfältet som heter säkerhetsindikatorer. (Låsikonen före webbplatsens adress är ett exempel på en säkerhetsindikator.) Olika indikatorer anger olika valideringsnivåer, och webbplatsägare kan använda ett mycket validerat certifikat för att försäkra besökare om att de är ett legitimt företag.
Följande avsnitt beskriver de möjliga valideringsnivåerna i stigande ordning. (Observera att varje nivå också innehåller all validering av de lägre nivåerna - till exempel har ett certifikat för utökad valideringsserver också genomgått framgångsrik domänvalidering.)
Domain Validation (DV)
Domänvaliderade (DV) certifikat utfärdas efter ett framgångsrikt (och vanligtvis automatiserat) utmaningssvarstest. I en metod genererar CA slumpmässigt ett unikt token och kräver att certifikatköparen placerar det på förutbestämda platser på deras webbserver. CA utför sedan en serie automatiska kontroller för att verifiera att tokenet faktiskt finns i servern, vilket bevisar att köparen verkligen har kontroll över servern och dess domän. Om domänkontrollen bekräftas kommer CA att utfärda ett DV-certifikat.
Att köpa och installera ett DV-certifikat är den enklaste och snabbaste (och billigaste) metoden för att skydda din server. De flesta stora webbläsare visar en enkel låsikon som säkerhetsindikator när du besöker en webbplats som är skyddad av ett DV-certifikat.
Även om DV-certifikat är helt bra för en webbplats med låg trafik bör de vanligtvis inte lita på för högriskstransaktioner. Om hackare komprometterar en HTTPS-server och har förmågan att ändra dess innehåll, kan de effektivt passera DV-kontrollerna och lura en CA att utfärda ett giltigt SSL-certifikat för en tredjepartsserver. Naturligtvis tar ansedda CA: er olika motåtgärder för att minimera denna risk, vilket är en av anledningarna till att bara arbeta med CA: er som du kan lita på.
Om du är intresserad av att köpa ett DV-certifikat kan du hitta mer information om SSL.com Grundläggande SSL-certifikat här.
Organisation Validation (OV)
För att utfärda ett organisationsvaliderat (OV) certifikat bekräftar CA kontrollen av en domän (som med DV-certifikat) och lägger sedan till manuell kontroll av den potentiella kundens organisationsinformation genom etablerade och granskade kontrollprocesser. Normalt kommer CA att kräva verifierbara stödjande dokument eller direkt kontakt med organisationens personal. Ett utfärdat OV-certifikat innehåller verifierad organisationsinformation, vilket innebär att det kan ge en betydligt högre säkerhet för slutanvändare än ett DV-certifikat.
Medelstora organisationer som inte hanterar personlig eller privat användarinformation kan dra nytta av att använda ett OV-certifikat. På grund av den mer noggranna vätningsprocessen bör du notera att ett OV-certifikat kan ta längre tid att utfärda jämfört med ett DV-certifikat, och medverkan av mänskliga operatörer i vettingprocessen innebär att ett OV-certifikat också vanligtvis är dyrare än ett jämförbart DV-certifikat.
Om du är intresserad kan du läsa mer här om SSL.coms High-Assurance SSL-certifikat.
Extended Validation (EV)
Extended Validation (EV) -certifikat ger de högsta nivåerna av säkerhet och förtroende, eftersom Cs endast kommer att utfärda ett EV-certifikat när ägarskapet till servern och legitimiteten för dess ägare är bevisat utan tvekan. Utökad validering inkluderar både domän- och organisationsvalidering, tillsammans med noggranna bakgrundskontroller (och korskontroller) av köparens organisation av multipel mänskliga utredare.
Dessa kontroller inkluderar verifiering av organisationens juridiska, fysiska och operativa existens, att hitta matchande poster i officiella regeringsdatabaser, bekräfta att den faktiska organisationen godkände köp av EV-certifikatet med återuppringningar och andra intensiva metoder.
På grund av denna extra valideringsnivå kan webbläsare visa en speciell säkerhetsindikator för användare som tydligt meddelar pålitligheten för en webbplats som är skyddad av ett EV-certifikat. I de flesta större webbläsare blir adressfältet grönt och visar det verifierade namnet på organisationen.
Det är därför EV-certifikat används av alla större e-handelswebbplatser och banker och rekommenderas starkt för företag som vill bygga kundförtroende på sin webbplats. De komplicerade kontrollerna som krävs innebär att det kan ta mer tid att skaffa sig ett EV-certifikat jämfört med de som använder lägre valideringsnivåer, och innebär också att EV-certifikat kan kosta mer än DV- eller OV-lösningar.
Du hittar mer information om SSL.coms EV-certifikat På den här sidan.
Domänstöd
Förutom valideringsnivån kan certifikat kategoriseras baserat på deras stöd för olika (eller flera) domäner.
Servercertifikat kommer att innehålla ett eller flera giltiga domännamn och en webbläsare verifierar alltid att certifikatet har utfärdats för HTTPS-servern det besöker.
Baserat på varje köpares behov kan ett certifikat innehålla en eller flera domäner (t.ex. example.com) eller underdomäner (t.ex. info.example.com). Domänstöd är inte beroende av valideringsnivån, och de flesta av följande certifikattyper finns tillgängliga i DV-, OV- eller EV-varianter.
Certifikat med en domän
Ett certifikat med en domän gör att kunder kan säkra ett Fullt kvalificerat domännamn (FQDN) på ett enda certifikat. Till exempel ett certifikat köpt för www.example.com gör det möjligt för kunder att skydda alla sidor under www.example.com/, Såsom www.example.com/register or www.example.com/certificates.
Certifikat med en domän är perfekta för företag som hanterar ett litet antal webbplatser, men om ditt företag räknar med att använda fler domäner eller kräver ytterligare flexibilitet, bekvämlighet eller besparingar, kan du vara intresserad av jokertecken eller certifikat med flera domäner.
Du hittar SSL.coms certifikat för en domän här. och här..
Wildcard-certifikat
Wildcard-certifikat tillåter kunder att säkra alla underdomänerna under en FQDN. Till exempel ett enda jokerteckencertifikat för example.com kan skydda example.com och eventuella underdomäner (t.ex. www.example.com, info.example.com or mail.example.com) Detta kan förenkla hanteringen av din säkerhet på flera servrar och webbplatser (eftersom ett jokerteckencertifikat kan användas istället för flera certifikat med en enda domän) men observera att jokerteckencertifikat endast är DV eller OV.
Om du är intresserad av att köpa ett vildkortcertifikat kan du hitta mer information i denna sida.
(Om ditt företag hanterar tre domäner eller mindre kan du dra nytta av en av våra Premium SSL-certifikat. snarare än ett jokerteckencertifikat.)
Certifikat med flera domäner (aka SAN eller UCC)
Flerdomänscertifikat kan hittas som erbjuds under olika namn, men kallas oftast Angående Alternative Name (SAN) certifikat eller Unified Communications Certificate (UCC).
SAN / UCC-certifikat tillåter webbplatsägare att säkra flera olika domäner med endast ett certifikat. Till exempel kan ett enda SAN / UCC-certifikat användas för att säkra båda www.example.com och www.example.co.uk. Observera att SAN / UCC-certifikat inte har samma funktion som jokerteckencertifikat, även om SAN / UCC-certifikat kan innehålla både jokardomäner och domäner som inte är underdomäner av samma FQDN.
Ett enda SAN / UCC-certifikat kan stödja flera tusen olika domäner. Kunder kan lägga till eller ta bort domäner när som helst, vilket kan hjälpa till att förenkla hanteringen av din säkerhetsinfrastruktur. Administratörer behöver bara övervaka ett enda certifikat med ett enhetligt utgångsdatum för alla domäner, istället för flera certifikat med en enda domän.
Dessutom är SAN / UCC-certifikat idealiska för Microsoft® Exchange- och Office Communications-miljöer, eftersom de kan använda sina alternativa domäner för att stödja Exchange Autodiscover-tjänsten, vilket kan göra klientadministrationen betydligt enklare. (SAN / UCC-certifikat kallas ibland också för "Exchange-certifikat" av denna anledning.)
Du kan hitta mer information om våra SAN / UCC-certifikat här.. För företagskunder tillhandahåller SSL.com också vår Enterprise EV SAN / UCC-certifikat.
Om ditt företag bara hanterar tre eller färre domännamn (som kanske eller inte är relaterade underdomäner) kan du överväga a Premium SSL-certifikat.
Slutsats
Servercertifikat är ett kraftfullt verktyg för att säkra din webbplats data och rykte, och att välja rätt certifikat som passar dina behov kan minimera kostnaden och ansträngningen för att administrera din säkerhetsinfrastruktur. Vi hoppas att den här artikeln hjälper dig att bättre förstå variationen i deras funktioner, utfärdartid och prissättning, men vi hjälper dig gärna med att hitta den lösning som passar dig. Kontakta oss gärna på support@ssl.com för via livechatt för mer information eller rekommendationer.
Och som alltid, tack för att du valde SSL.com, där vi tror a säkrare Internet är en bättre Internet.
