一些朋友在读了介绍 DV SSL、OV SSL、EV SSL 三种SSL证书 的文章后,向我们咨询:面对众多的品牌、不同的加密算法,那么网站应该如何选择 SSL 证书?本文将为大家一一答疑。
不同的 SSL 证书品牌有什么差异
不同的 SSL 证书品牌价格不同,甚至有些还提供免费 SSL 证书,那么他们有什么不同呢?
很多站长在选择时不免疑惑,是不是同种类证书中选择价格较贵的较好?
搞清楚这个问题之前,需要先介绍以下根证书。
根证书(root certificate)是根证书颁发机构(CA)的公钥证书,如同公开金钥基础建设的信任链的起点,犹如一棵大树的根基,支撑着整个网络世界的信任架构。
证书颁发机构(或 SSL 证书品牌)的角色犹如现实世界中的公证行,确保网络世界中电子证书持有人的身份得到认可。通过中介证书,利用数位签章为多个客户签发多个不同的终端实体证书,形成一个以根证书为顶层的树状结构。在这个传递关系中,所有下层证书都会因为根证书的可信而继承信任基础,如同大树的枝干和叶子,都依赖于根证书这个坚实的信任基础。
可以通俗的理解为,网站上所使用的 SSL 证书是否被第三方认可(如:浏览器),取决于根证书的公信力。
从另一个角度来讲,任何人都可以自己颁发证书,但未获得广泛信任之前,自己颁发的证书基本无用。
如 GlobalSign、Google、Let’s Encrypt、CAcert.org、Comodo、DigiCert 等知名 CA 机构的根证书已经被所有主流操作系统、浏览器预先安装,这意味着它们颁发的 SSL 证书一定会得到这些操作系统与浏览器的认可。
所以在选择 SSL 证书品牌时,首先需要考虑的是它的根证书是否被主流系统预先安装。
重要提示:操作系统、浏览器或一些应用程序,在每个版本中会预先安装可被信任的根证书,所以一些新获信任的根证书会存在不被旧版操作系统、浏览器或应用程序认可的问题。
国际标准与国密证书有何区别?
国际算法 SSL 证书通常使用RSA或ECC等加密算法,其中RSA作为国际上应用最普遍的加密算法,通常配备2048位的密钥长度,能够抵挡绝大多数已知的密码攻击。
国密算法 SSL 证书,则使用的是国密算法(SM2/SM3/SM4),SM2 算法是一种椭圆曲线公钥密码算法,一般配备256位的密钥长度,适用特定的国密浏览器访问,不兼容主流的浏览器。
作为一般网站而言,为了得到更广泛的兼容性,使用国际算法的证书就可以了。
总结:最终该如何选择?
选择认证等级
SSL 证书有不同的认证等级,DV SSL、OV SSL或EV SSL,如果仅为了开启 HTTPS 传输协议,不需要在浏览器中展示机构名称或证书机构提供额外的增值服务,那么选择 DV SSL 性价比更高。
三种等级的证书详情参考: DV SSL、OV SSL、EV SSL 三种SSL证书 。
选择证书品牌
正如前文提到的,只要是被所有主流操作系统与浏览器信任的证书均可以,对于网站访客而言,品牌不同没什么区别。
只是不同的证书品牌会提供一些增值服务,这些增值服务一般包含赔付保额、名称认证等,适合大型企业、金融机构等。
选择域名类型
在同一个网站中,是使用单个域名还是需要多域名?正常情况下,一个网站仅允许部署一个 SSL 证书,如果是单域名网站,那么选择单域名证书即可。而多域名证书一般价格较贵,特别是通配符证书更贵。
特别推荐 Let’s Encrypt 证书,它既可以申请单域名亦可以申请通配符域名,而且都是免费的。