HTTPS是Web通信的事实上的安全协议。 实际上,大多数现代浏览器 敦促 网站所有者使用HTTPS,这要求Web服务器提供有效的SSL证书,而不是其不安全的替代HTTP。 这意味着,如果您拥有使用HTTP的旧网站,最终您将有可能不得不转向HTTPS并获得SSL证书。
但是,当需要购买证书时,您会遇到各种证书类型,每种类型都有许多技术特征。 在这里 SSL.com 我们知道选择适当的证书可能会造成混淆,因此,我们创建本文是为了指导可能的证书类型以及如何评估它们是否满足您的需求。
证书分类法
无论其类型如何,所有证书都必须执行一项基本功能: 绑定 个人,公司或组织的特定身份的公共密钥。
话说回来, 证书颁发机构 (CA),例如 SSL.com 可以出于各种目的颁发证书,从保护小型网站到保护大型公共部门服务或电子商务网站不等。 每种情况可能会对证书策略或功能提出不同的要求,这就是存在几种证书类型的原因。
更具体地说,有两个特性可以区分SSL证书。 这些是:
- 的电平 验证 CA对准证书所有者的信息进行处理,并且
- 此 域名的数量和类型 (例如
example.com
,mail.example.com
,*.example.com
等等)。
验证等级
CA负责在颁发证书之前验证所有潜在证书购买者的身份。 但是,根据证书类型的不同,这些验证检查的范围从简单的自动测试到证明域控制(对于域验证的证书)到彻底的手动证据检查,通过第三方数据库的确认等等(对于扩展验证证书)。
证书的验证级别越高,对该证书的信任程度就越高。 用户可以更容易地信任具有扩展验证证书且具有高风险交换(例如付款或共享私人信息)的网站,因为受信任的CA已经验证了所有者的身份。
由于这对安全性很重要,因此浏览器通过在地址栏中显示特殊的图形来确认证书的验证级别, 安全指标。 (本网站地址前的锁定图标是安全指示符的示例。)不同的指示符表示不同的验证级别,并且网站所有者可以使用高度验证的证书来确保访问者是合法企业。
以下各节按升序描述了可能的验证级别。 (请注意,每个级别也包括所有较低级别的验证-例如,扩展验证服务器证书也已成功进行了域验证。)
域验证(DV)
在成功(通常是自动)的质询-响应测试之后,颁发域验证(DV)证书。 在一种方法中,CA随机生成一个唯一令牌,并要求证书购买者将其放在其Web服务器内部的预定位置。 然后,CA执行一系列自动检查,以验证令牌是否确实存在于服务器中,这证明购买者确实具有对服务器及其域的控制权。 如果确认了域控制,则CA将继续颁发DV证书。
购买和安装DV证书是保护服务器的最简单,最快(最经济实惠)的方法。 多数主流浏览器在访问受DV证书保护的网站时,都会显示一个简单的锁状图标作为安全指示。
尽管DV证书对于低流量的网站而言是完美的选择,但对于高风险交易,通常不应该信任它们。 如果黑客破坏了HTTPS服务器并具有更改其内容的能力,则他们可以有效地通过DV检查并欺骗CA为第三方服务器颁发有效的SSL证书。 自然,信誉良好的CA会采取各种对策来最大程度地降低这种风险,这是仅与可以信任的CA一起工作的原因之一。
如果您有兴趣购买DV证书,则可以找到有关SSL.com的更多信息。 基本SSL证书在这里.
组织验证(OV)
要颁发组织验证(OV)证书,CA会确认对域的控制(与DV证书一样),然后通过已建立并经过审核的审核流程来手动审核潜在客户的组织信息。 通常,CA将需要可验证的支持文件或直接与组织人员联系。 颁发的OV证书包含经过验证的组织信息,这意味着与DV证书相比,它可以为最终用户提供更高级别的保证。
不处理个人或私人用户信息的中型组织可以从使用OV证书中受益。 由于审核过程更加彻底,请注意,与DV证书相比,OV证书的发布时间可能更长,并且操作员参与审核过程意味着OV证书通常也比同类DV证书贵。
如果您有兴趣,可以阅读更多 关于SSL.com的高保证SSL证书.
扩展验证(EV)
扩展验证(EV)证书提供了最高级别的安全性和信任度,因为只有在毫无疑问地证明服务器的所有权及其所有者的合法性的情况下,CS才会签发EV证书。 扩展验证包括域验证和组织验证,以及对购买者组织的严格背景检查(和交叉检查),包括 多 人类研究者。
这些检查包括验证组织的合法性,物理性和操作性,在官方政府数据库中查找匹配记录,确认实际组织已通过回调和其他密集方法授权购买了EV证书。
由于这种额外的验证级别,浏览器可能会向用户显示特殊的安全指示符,以清楚地传达受EV证书保护的网站的可信度。 在大多数主流浏览器中,地址栏将变为绿色,并显示经过验证的组织名称。
这就是为什么所有主要的电子商务网站和银行都使用EV证书的原因,强烈建议希望在其网站上建立客户信任的企业使用EV证书。 与使用较低级别的验证相比,所需的复杂检查意味着获取EV证书可能需要更多时间,并且还意味着EV证书的成本可能高于DV或OV解决方案。
您可以在SSL.com的EV证书上找到更多信息。 在此页.
域支持
除了验证级别之外,还可以基于对不同(或多个)域的支持来对证书进行分类。
服务器证书将包含一个或多个有效域名,并且浏览器始终会验证该证书是针对它正在访问的HTTPS服务器颁发的。
根据每个购买者的需求,证书可以包含一个或多个域(例如, example.com
)或子域(例如 info.example.com
)。 域支持并不取决于验证级别,并且以下大多数证书类型在DV,OV或EV变体中可用。
单域证书
单域证书允许客户保护一个 完全合格的域名 (FQDN)在单个证书上。 例如,购买的证书用于 www.example.com
允许客户保护以下所有页面 www.example.com/
,如 www.example.com/register
or www.example.com/certificates
.
单域证书是管理少量网站的企业的理想选择,但是如果您的公司希望使用更多的域,或者需要更多的灵活性,便利性或节省,您可能会对通配符或多域证书感兴趣。
通配符证书
通配符证书使客户可以保护 所有 FQDN下的子域。 例如,单个通配符证书用于 example.com
可以保护 example.com
以及任何子域(例如 www.example.com
, info.example.com
or mail.example.com
),这可以大大简化跨多个服务器和站点的安全性管理(因为可以使用一个通配符证书代替多个单域证书),但是请注意,通配符证书仅适用于DV或OV。
如果您有兴趣购买通配符证书,可以在下面找到更多信息。 这页.
(如果您的公司管理三个或更少的域,则您可能会受益于我们的其中一个 高级SSL证书。 而不是通配符证书。)
多域证书(又名SAN或UCC)
可以找到以不同名称提供的多域证书,但最常见的称呼是 主题备用名称 (SAN)证书或 统一通信证书 (UCC)。
SAN / UCC证书允许网站所有者仅使用一个证书来保护多个不同的域。 例如,单个SAN / UCC证书可用于保护两个 www.example.com
和 www.example.co.uk
。 请注意,尽管SAN / UCC证书可以同时包含通配符域和不是同一FQDN的子域的域,但SAN / UCC证书不提供与通配符证书相同的功能。
单个SAN / UCC证书可以支持数千个不同的域。 客户可以随时添加或删除域,这可以帮助简化对安全基础结构的管理。 管理员只需要监视一个证书 具有所有域的统一到期日期,而不是多个单域证书。
此外,SAN / UCC证书是Microsoft®Exchange和Office Communications环境的理想选择,因为它们可以使用其替代域来支持Exchange自动发现服务,这可以大大简化客户端的管理。 (因此,SAN / UCC证书有时也称为“ Exchange证书”。)
您可以找到有关我们的SAN / UCC证书的更多信息 这里。。 对于企业客户,SSL.com还提供了我们的 企业EV SAN / UCC证书.
如果您的公司仅管理三个或更少的域名(它们可能是也可能不是相关的子域),那么您可以考虑 高级SSL证书.
结论
服务器证书是保护站点数据和信誉的强大工具,选择适合您需求的正确证书可以极大地减少管理安全基础结构所需的成本和精力。 我们希望本文能帮助您更好地了解其功能,发行时间和定价方面的差异,但我们始终乐于帮助您找到适合您的解决方案。 请随时与我们联系 support@ssl.com 通过实时聊天获取更多信息或建议。
和往常一样,感谢您的选择 SSL.com,我们相信 更安全 互联网是一个 更好 互联网上。