[[361305]]

本文轉(zhuǎn)載自微信公眾號(hào)「新鈦云服」，作者秦鳴。轉(zhuǎn)載本文請(qǐng)聯(lián)系新鈦云服公眾號(hào)。   

隨著互聯(lián)網(wǎng)的發(fā)展，SSL網(wǎng)站安全證書已成為企業(yè)的一個(gè)標(biāo)配。如未配備，你在訪問公司站點(diǎn)時(shí)，會(huì)被提示該站點(diǎn)是不安全的。

目前SSL證書從域名類型來說分單域名SSL證書、通配符域名SSL證書，從證書類型來說分為域名驗(yàn)證型DV、組織型驗(yàn)證OV、擴(kuò)展型驗(yàn)證EV......共5種ssl證書類別，從品牌來說又分國(guó)內(nèi)和國(guó)外眾多品牌，例如：DigiCert、Godaddy、Geotrust等等。

面對(duì)如此多類型和品牌，企業(yè)該如何選擇?

這里我們?cè)敿?xì)闡述下如何選擇SSL證書。以下會(huì)以阿里云平臺(tái)上所能購買到的證書來舉例。

SSL證書選擇

1.按域名類型來選擇

單域名SSL證書：

單域名證書適合域名數(shù)較少，且一段時(shí)間內(nèi)不會(huì)有變化的公司。需要注意的一個(gè)細(xì)節(jié)是如果單域名證書保護(hù)的是www.domain.com這個(gè)域名的話那么domain.com這個(gè)域名也會(huì)被保護(hù)到。

而如果是非www的域名，如abc.domain.com的話那么domain.com這個(gè)域名不會(huì)被保護(hù)到。

多域名SSL證書：

有些供應(yīng)商提供了多域名SSL證書，這個(gè)其實(shí)是和單域名證書是一樣的，只是一個(gè)證書里包含了多個(gè)單域名。

通配符域名SSL證書：

通配符域名SSL證書是*.domain.com這樣的域名。其中*可以用任意英文字母和數(shù)字以及-組成。這里需要注意的是不能有“.”。

例如：aaa.bbb.domain.com這樣的域名仍然會(huì)被認(rèn)為是不安全的。改成aaa-bbb.domain.com就沒問題。

判斷可能的原因是證書對(duì)域名的識(shí)別是從左往右識(shí)別的，這時(shí)它判斷對(duì)應(yīng)的二級(jí)域名為bbb不是它要保護(hù)的domain，所以會(huì)認(rèn)為是不安全的。

2.按證書類型來選擇

域名型證書(DV SSL證書)：

信任等級(jí)一般，只需驗(yàn)證網(wǎng)站的真實(shí)性便可頒發(fā)證書保護(hù)網(wǎng)站而不驗(yàn)證營(yíng)業(yè)執(zhí)照。

組織/企業(yè)型證書 (OV SSL證書)：

信任等級(jí)高，用于驗(yàn)證此域名由特定公司、組織、或者機(jī)構(gòu)所擁有，同時(shí)申請(qǐng)的主體身份符合合法注冊(cè)或者受權(quán)威機(jī)構(gòu)承認(rèn)的實(shí)體。

增強(qiáng)型證書 (EV SSL證書)：

信任等級(jí)最高，證書頒發(fā)機(jī)構(gòu)對(duì)此的審核比較嚴(yán)苛，一般用于銀行證券等金融機(jī)構(gòu)。增強(qiáng)型證書具有高級(jí)別可信度及安全性，顯示帶公司名稱的綠色地址欄是它的顯著特點(diǎn)之一。

3.按品牌來選擇

DigiCert(原Symantec)：

DigiCert是業(yè)界更受信任且廣受尊重的高保障度證書提供商，為89%的財(cái)富500強(qiáng)企業(yè)、全球前100大銀行中的97家銀行以及全球87%的加密電子商務(wù)交易提供保護(hù)。

GeoTrust：

GeoTrust是DigiCert旗下子品牌。服務(wù)150多個(gè)國(guó)家和地區(qū)的10萬多名客戶，受世界各地、各類規(guī)模企業(yè)及組織信賴。

GeoTrust 品牌證書覆蓋各類加密等級(jí)，性價(jià)比高，滿足企業(yè)任何預(yù)算需求。

GlobalSign：

GlobalSign是全球權(quán)威的數(shù)字證書頒發(fā)機(jī)構(gòu)(CA)之一。淘寶/天貓正在使用的同款品牌證書，全線產(chǎn)品支持RSA/ECC加密算法。專業(yè)版OV單域名證書支持公網(wǎng)IP申請(qǐng)，尤其適用于電子商務(wù)、直播、在線教育類企業(yè)網(wǎng)站，及對(duì)網(wǎng)站有雙算法部署需求的企業(yè)用戶。

CFCA(國(guó)產(chǎn))：

中國(guó)金融認(rèn)證中心(China Financial Certification Authority，簡(jiǎn)稱CFCA)是經(jīng)中國(guó)人民銀行和國(guó)家信息安全管理機(jī)構(gòu)批準(zhǔn)成立的國(guó)家級(jí)權(quán)威安全機(jī)構(gòu)。

純國(guó)產(chǎn)數(shù)字證書品牌，滿足政府/金融等組織、機(jī)構(gòu)國(guó)家監(jiān)管需求。OCSP服務(wù)器本地化部署，有效提升HTTPS網(wǎng)站訪問速度。同時(shí)，支持安卓6.0和IOS10.1及以上版本，含小程序。

vTrus(國(guó)產(chǎn))：

純國(guó)產(chǎn)品牌，滿足企業(yè)采購國(guó)產(chǎn)品牌的需求。兼容性是目前國(guó)產(chǎn)品牌中性能最優(yōu)。

WoSign(國(guó)產(chǎn))：

WoSign是國(guó)產(chǎn)品牌，滿足企業(yè)采購國(guó)產(chǎn)品牌，國(guó)密算法的需求。

性價(jià)比高，可實(shí)現(xiàn)雙證書部署，網(wǎng)站更安全。

2016年曾經(jīng)出過偷偷簽發(fā)http://github.com的證書，被Mozilla停止信任。因此不建議購買該品牌證書。

以下為1個(gè)證書阿里云參考的價(jià)格表：