SSL 证书是安装在 Web 服务器上用于安全加密数据的文件,它促进了服务器与用户浏览器之间数据的安全通信。
SSL 证书对于支付页面和登录表单至关重要,为数百万网站提供了增强的安全性,防止未经授权访问敏感数据。此外,它还确保网站内容不会被谷歌标记为不安全。
本篇 SSL 证书全面指南,将带您深入了解不同类型的 SSL 证书,帮助您确定最适合自身需求的证书。
简单说明一下:受 SSL 保护的网站地址会带有 HTTPS 前缀,浏览器地址栏左侧也会显示一个挂锁图标,点击挂锁将为您提供关于网站及其背后组织的更多信息。
SSL 证书有哪些不同类别?
为了更深入地了解每种类型的 SSL 证书,您可以点击以下提供的链接,或手动向下滚动。每个章节都会介绍每种证书如何用于认证和保护您的域名、组织、多个域名和/或子域名。
- 域验证 SSL 证书(DV SSL)
- 组织验证 SSL 证书(OV SSL)
- EV(扩展验证)SSL 证书
- 针对特定域的 SSL 证书
- 多域 SSL 证书
- 通配符 SSL 证书
- 多域通配符 SSL 证书
SSL 证书概述
SSL 证书类型基于两个基本参数:
验证级别。 网站管理员在获得证书颁发机构(CA)证书前所经历的验证流程的严格程度。验证级别可以有很大差异,从最基础到非常严格不等。验证级别越高,网站的权威性也越强。
覆盖域名数量。 你可以根据具体需求选择单域 SSL 证书,或选择能够保护多个域名的证书。
-
网站SSL证书
以下章节将对每种类型提供更详细的说明。
基于验证类型的 SSL 证书
所有 SSL 证书提供相同级别的加密。然而,CA 对网站管理员身份的核验程度可能有所不同。
审查的严格程度取决于网站的业务范围及所处理的用户数据类型。例如,拥有复杂支付系统的电商网站,需要比专门用于博客的网站接受更为严格的审查。
SSL 验证有三种类型:
- 域验证证书(DV SSL)
- 组织验证证书(OV SSL)
- 扩展验证证书(EV SSL)
| DV SSL | OV SSL | EV SSL | |
|---|---|---|---|
| 验证速度 | 快速验证 | 全面的安全保障 | 顶级保护,防范钓鱼攻击、电子邮件欺诈及其他攻击 |
| 费用 | 价格低廉 | 值得信赖 | 强调企业已通过验证 |
| 文件要求 | CA 不要求任何文件 | 需要准备并提交商业文件给 CA | 价格较高 |
| 安全性 | 不如其他选项安全 | 比 DV SSL 证书贵 | 验证周期较长 |
| 其他 | 验证级别较低,可能使终端用户不愿意分享信息 |
域名验证 SSL 证书(DV SSL)
DV SSL 证书采用最基础的验证方式。CA 不核实运营网站的个人或组织的身份,仅确认网站管理员对该域名拥有控制权,即可完成域名注册所需的验证。
持有 DV SSL 证书的网站地址会带有 HTTPS 前缀,大多数浏览器也会显示挂锁图标。访客点击挂锁后,可查看证书及网站所有权的相关信息。
域名验证 SSL 证书非常适合小型网站和博客。
DV SSL 证书的优势:
- 验证过程通常在线自动完成,无需提交任何文件
- 申请当天即可获得证书
- 价格实惠,是市场上较具性价比的选择
DV SSL 证书的缺点:
- 验证级别较低,可能降低用户分享信息的意愿
- 任何人均可申请,存在被仿冒网站滥用的风险,安全性相对较弱
组织验证 SSL 证书(OV SSL)
组织验证 SSL 证书在域名验证的基础上,进一步核验网站所有权及所属组织的国家、城市等信息。申请网站需经过一系列背景调查方可获得授权。
持有该证书的网站会在地址中显示 HTTPS 前缀,地址栏旁会显示挂锁图标。用户点击挂锁后,浏览器会显示域名所有者的信息,包括姓名、地址和注册国。
OV SSL 证书非常适合处理敏感用户信息的中小型企业和平台。
OV SSL 证书的优势:
- 安全防护更为严密
- 相比 DV SSL 证书可信度更高,为访客提供更多组织信息
OV SSL 证书的缺点:
- 需要准备并向 CA 提交相关商业文件
- 费用高于 DV SSL 证书
扩展验证 SSL 证书(EV SSL)
扩展验证 SSL 证书在 DV 和 OV 的基础上提供了额外的验证层级,表明网站已作为合法企业完成注册。
CA 在签发 EV SSL 证书前会进行全面的背景调查,仔细审查域名所有权、法律主体资格、地理位置及其他相关因素。
EV SSL 证书有一个独特功能,会在浏览器地址栏中显示绿色标识,并将组织名称与挂锁图标并排展示。访客可以放心地与网站互动,确认网站是安全可信的。
扩展验证 SSL 证书非常适合企业、金融机构和电子商务平台。
EV SSL 证书的优势:
- 对钓鱼攻击、鱼叉式网络钓鱼、电子邮件欺诈及其他网络威胁提供卓越的防御能力
- 通过直观显示企业名称,强化品牌可信度
EV SSL 证书的缺点:
- 是所有 SSL 证书中价格最高的选项
- 验证过程可能需要数周时间
根据需要保护的域名数量选择 SSL 证书
选择 SSL 证书时,另一个重要考量是需要保护的域名数量。
根据可保护的域名数量,SSL 证书分为以下五种类型:
- 针对特定域的 SSL 证书
- 多个子域名的 SSL 证书(通配符证书)
- 多域 SSL 证书
- 多域通配符 SSL 证书
- 统一通信 SSL 证书
以下章节将逐一介绍每种类型的 SSL 证书及其适用场景。
单域 SSL 证书
单域 SSL 证书为单一域名及其所有页面提供安全保障,同时涵盖该域名的 www 和非 www 版本。
这是最具成本效益的 SSL 选项,能够保障网站进出数据的安全。需要注意的是,该证书不适用于任何子域名。
通配符 SSL 证书
通配符 SSL 证书在保护主域名的同时,还覆盖该域名下无限数量的子域名。例如,购买 mywebsite.com 的通配符证书后,mail.mywebsite.com 或 login.mywebsite.com 等子域名也会受到保护。
如果你计划持续扩展子域名,通配符 SSL 证书是灵活且经济的选择。管理通配符证书也比为每个子域名单独购买证书简便得多。
验证选项:通配符 SSL 证书支持 DV 和 OV 两种验证级别。
多域 SSL 证书
多域证书可同时保护多个域名及其子域名,具体数量因 CA 而异,最多可达 250 个域名。
使用多域 SSL 时,主域名作为基础域,其他域名以主题备用名称(SAN)的形式纳入保护范围。
验证选项:多域 SSL 证书支持 DV、OV 和 EV 三种验证级别。
多域通配符 SSL 证书
多域通配符 SSL 证书结合了多域证书与通配符证书的双重优势,可同时为多个完全限定域名及其下无限数量的子域名提供全面保护。
初始投入较高,但如果你管理多个网站,多域通配符 SSL 证书是很好的选择,管理员可以高效地对所有网站进行统一的证书管理。
验证选项:多域通配符 SSL 证书支持 DV 和 OV 两种验证级别。
统一通信(UCC)SSL 证书
UCC SSL 证书专为使用 Microsoft Exchange 和 Office 通信的环境设计。
统一通信 SSL 允许用户仅凭一张证书保护多个完全限定域名。与多域 SSL 类似,主域名作为基础域,其他域名通过 SAN 扩展进行保护,无需为每个域名分配独立的 IP 地址。
根据不同 CA,UCC 证书可保护 25 至 250 个域名不等。
统一通信 SSL 证书支持 DV 和 OV 两种验证级别。
代码签名证书
代码签名证书用于加密软件代码,防止黑客进行未经授权的篡改。为软件申请代码签名证书至关重要,它能确保主流操作系统在用户尝试下载或安装软件时不会弹出安全警告。
通过这一额外的安全层,您可以:
- 赢得用户的信任与信心
- 保护软件包的完整性
- 确立自身作为可信软件发行商的权威性
- 提升软件下载量
用户尝试安装已签名的软件时,操作系统会弹出提示窗口。用户可通过访问开发者网站或点击发行商名称查看认证信息。
验证选项:代码签名证书支持 DV、OV 和 EV 三种验证级别。使用扩展验证版本,还可获得双因素认证的额外安全保障。
自签名 SSL 证书
自签名证书由网站所有者自行生成,无需依赖证书颁发机构。它同样提供数据加密,并为网站启用 HTTPS。然而,与其他 SSL 证书不同,自签名证书可以由任何人创建。
浏览器通常会对自签名证书显示安全警告。
如果网站用于公开访问而非私人用途,建议选择由 CA 签发的正式证书。
为您的网站选择合适 SSL 证书的建议
看到这里,你应该对哪种 SSL 证书最适合自身需求有了初步判断。如果仍难以抉择,可参考以下几点:
- 网站规模及用户与网站的交互方式
- 是否需要收集访客的个人信息
- 需要保护的域名和子域名数量
- 是否使用 Microsoft Exchange 或 Office 通信环境
- 未来计划扩展的子域名数量
通常,域名验证 SSL 证书最适合不处理用户个人数据的博客和网站;组织验证 SSL 证书非常适合收集用户个人数据的中小型网站;扩展验证 SSL 证书则非常适合拥有大量公众用户的大型企业。
关于域名数量的选择,逻辑较为清晰:如果只需保护一两个域名,可考虑单域证书或通配符证书;如果需要保护多个域名,多域 SSL 证书是更好的选择。
一个域名能使用多个 SSL 证书吗?
当同一域名存在多个证书时,服务器需要从中选择一个使用。服务器有时会向访客发送最新的证书,有时也会轮换展示较旧的证书。
拥有多个 SSL 证书可能导致 SSL 协议出现兼容性问题,甚至危及网站安全。
通常情况下,每个域名不需要配置多个 SSL 证书。然而,在同一 IT 环境中,以下几种场景确实可能同时使用多张证书:
- 使用 CDN 时: 访客与 CDN 之间、CDN 与源服务器之间各需一个 SSL 连接。分别在服务器和 CDN 上部署证书,可实现对私钥访问的隔离管控。
- 多服务器部署: 将网站部署在多台服务器上时,可通过各自配置 SSL 证书来增强安全性并实现访问控制。
- 测试服务器: 开发和测试环境通常与生产环境分离,测试服务器一般会单独配置一张 SSL 证书。
除上述情况外,每个域名使用一张证书是更稳妥的做法。
本文知识点总结
网络环境有其规则和规范,使用 SSL 保护网站已成为开展在线业务的必备条件。SSL 证书能够为在线访客提供安全感与信任感。
SSL 证书是当今数字环境中建立用户信赖的关键工具。它们为服务器与用户浏览器之间提供安全连接,加密数据并防止未经授权访问敏感信息。SSL 证书共有十种不同类型,每种证书的验证级别及适用的域名范围各有不同。域名验证 SSL 证书(DV SSL)验证流程最为简便,适合小型网站和博客;组织验证 SSL 证书(OV SSL)可核验网站所有权和组织信息,适合处理敏感用户数据的中小型企业和平台;扩展验证 SSL 证书(EV SSL)提供最高级别的验证,证明网站已注册为合法企业,适合大型企业、金融机构和电子商务平台。了解各类 SSL 证书的特点与优势,有助于网站所有者做出更明智的选择,切实保障网站安全并赢得用户信任。
如果你希望跟进最新的安全建议,可以考虑将网站从 SSL 升级至 TLS。在获得 SSL 证书后,下一步便是熟悉在 Nginx 或 Apache 上安装证书的流程。
原创文章,作者:余初云,如若转载,请注明出处:https://blog.jidcy.com/jsjc/2131.html