SSL证书琳琅满目,不同的SSL证书型号、品牌应有尽有。可信的SSL证书有它们共同遵守的行业标准,但不同型号的SSL证书也各有特点。换句话说,不同的应用场景其实有着对SSL证书选择的偏好。

今天来谈一谈SSL证书的 6 项属性(排名不分先后)。同时,如果您有SSL证书的需求,沃通CA(​http://wosign.com​)欢迎您随时与我们交流。

第一属性:SSL证书验证方式类型,它将SSL证书分为 DV、OV、EV

这种分类方式基于 CA 对SSL证书申请者身份的验证深度。DV 只验证域名管理权,即你只需按照 CA 要求的方式证明你对域名有管理权即可。OV 和 EV 需要具有组织单位的身份才可以申请,例如学校、医院、机关单位、企业等。在签发证书之前,CA会验证这些单位的真实性以及是否是单位授权给单位内的某成员在​​申请SSL证书​​,确保SSL证书的使用者身份真实有效。

因为验证的深度不一样,因此这三种证书包含的信息也是有很大区别:

SSL证书的 6 大属性_数字证书DV SSL证书中只具有域名SSL证书的 6 大属性_加密算法_02OV SSL证书中具有域名和单位名称SSL证书的 6 大属性_加密算法_03EV SSL证书中具有域名和单位名称及更多信息

第二属性:SSL证书保护的域名是否支持扩增

目前常规的分类主要有单域名证书、多域名证书、通配符证书。但现在很多的CA开始变得更加灵活,例如沃通CA官网的 DigiCert 的 Flex 和 GlobalSign 的 SANs,均可在一个证书里面增加多个域名/通配符域名,非常灵活。

如果查看一个SSL证书是否保护了多个域名?如下所示,在证书详情的“可选名称”查看。如果您也有类似的需求,可在沃通CA数字证书商店申请这种类型的证书。

SSL证书的 6 大属性_加密算法_04保护很多域名的SSL证书

第三属性:SSL证书的加密算法,常见的有 RSA、ECC、SM2

SSL证书在提交申请的时候,就会选择加密算法,目前使用较多的依然是 RSA,或者 RSA 和 ECC 配合使用。在某些特定情况下会选择 SM2(即国密算法)。

RSA算法:应用较早,普及度高,比 ECC 算法的适用范围更广,兼容性好,一般采用 2048 位的加密长度,但是对服务端性能消耗相对略高。

ECC算法:中文名称为椭圆加密算法,新一代算法趋势主流,一般采用 256 位加密长度,加密速度快,效率更高,对服务器资源消耗低,而且重要的是更安全,抗攻击性更强。但在一些比较老旧的系统环境中存在不支持的情况,因此它的兼容性相比 RSA 要差一些。

另外就是国密 SM2 加密算法,但由于SM2国密算法的SSL证书目前仅仅少数几款浏览器支持,且需要相应的服务器环境支持,目前的普及程度还远远不及 RSA 和 ECC。

加密算法的选择是基于性能和兼容性的平衡的选择。您可以联系沃通CA来给您出具多种算法搭配的SSL证书方案。

第四属性:国产和国外品牌的 SSL证书

在沃通CA,不仅仅有各种国外品牌的SSL证书,还有各种国产品牌的SSL证书。总体上讲,国外品牌的SSL证书,因为起步发展更早,其根证书已经预埋在各个比较老旧的系统平台浏览器里面,能够取得更好的兼容性。而国产SSL证书起步较晚,只能兼容一些相对比较新一些的浏览器、系统、平台。因为一些老版本的浏览器等系统在当时发布的时候,我们一些国产品牌的SSL证书还没开始进入到这些系统的信任列表,因此无法兼容这一类的系统。但随着时间的推移,那些老的浏览器版本、系统终究会淡出人们的生活工作,国产SSL证书的兼容性也会越来越好。

这里需要格外提一下,国产SSL证书也是使用 RSA、ECC 或者 SM2 等加密算法。国产SSL证书≠国密SSL证书。

第五属性:是否同时支持域名和 IP 地址申请

通常情况下,SSL证书一般是颁发给域名使用,但目前也有一些特别的场景需要对 IP 地址进行 https 加密,于是就有了为 IP 地址直接申请 SSL证书的需求。

SSL证书的 6 大属性_ssl证书_05

IP 地址加上SSL证书之后也能实现 https 加密访问

如果您是需要给 IP 地址加密,请联系沃通CA为您提供支持 IP 地址直接申请的SSL证书。必要的时候,沃通CA可以给您提供能够同时支持添加子域名、泛域名和IP地址的SSL证书。

第六属性:是否具有中国本地化的 OCSP

OCSP(Online Certificate Status Protocol)即在线证书状态协议,是一个互联网协议,用于获取符合 X.509 标准的数字证书的状态,是维护服务器和其它网络资源安全的两种普通方法之一。 一般浏览器在打开一个网站的时候,会去查看 OCSP 证书的有效性,如果查看速度慢会影响到网站的打开速度,因此选择具有中国本地化 OCSP 的SSL证书在速度上可能为您加分。

SSL证书的 6 大属性_ssl证书_06OCSP 示意

沃通CA所提供的 DigiCert 等系列SSL证书均做了 OCSP 中国本地化加速设置(使用了 CDN 加速),我们可以查看有无中国本地化加速的 OCSP 响应对比

SSL证书的 6 大属性_加密算法_07可使用各种测速工具进行测试

其实有 OCSP 本地化服务的SSL证书,不仅仅是速度上更快,更重要的是具有本地化服务的SSL证书,通常也做了相关的 ICP 备案,这使得在中国的市场环境下更加合规。

除此之外,不同的SSL证书还具有不同的风险保险金额,有一些型号的SSL证书还具有网站扫描、智能签章等扩展功能。