[转帖]SSL数字证书分类DV/OV/EV

SSL证书的分类主要是通过下面两个维度进行分类:

1.根据验证模式分类

根据CA机构对申请者的身份审核范围分为：DV证书、OV证书、EV证书。

1.1.DV证书（域名证书）

DV（Domain Validated）证书是最常见的一种证书类型，大多数免费证书都此类证书。CA机构获取CSR证书请求后，从中取出域名，校验域名的所有权与证书申请者是否一致，一致代表身份审核通过，CA机构发放DV证书。
由于DV证书在审核时，CA不会对申请者的身份进行严格的审核，某些恶意的攻击者会通过一些方法（比如DNS劫持）冒充服务器实体向CA机构申请证书，CA机构可能会给攻击者签发恶意的证书。
一般来说，DV证书更适合于个人网站。

1.2.OV证书（机构证书）

对于OV（Organization Validated）证书，CA机构会对申请者的身份进行严格的审核，从而给用户（浏览器）提供更安全的信任。
CA根据严格的标准会审核申请者身份，比如说审核申请者的企业资质、企业地址等消息，确保申请者的身份是真实的。
一般来说，企业和政府机构一般会申请OV证书，由于审核申请者的身份需要时间，申请OV证书完成的时间比DV证书申请完成的时间要长。

1.3.EV证书

对于EV（Extended Validation）证书，CA机构会对申请者的身份进行更严格的审核，对于CA机构来说，CA机构会严格根据CA/Browser论坛制定的标准审核申请者的身份，该标准称为Baseline Requirement标准，是由浏览器厂商、CA等机构创建的。
Baseline Requirement标准包含的内容比较广泛：
◎审核证书申请者身份的标准。
◎浏览器嵌入CA根证书的标准。
◎企业成为CA机构的标准。
◎浏览器校验证书的标准，比普通DV证书有更严格的校验。
◎证书包含属性的标准。
读者在理解的时候要注意区分X.509标准和Baseline Requirement标准：
◎这两个标准是不同的组织制定的。
◎X.509标准更多规定证书的结构和组成，Baseline Requirement标准规定申请者身份审核的流程，一家组织要成为CA机构也必须符合该标准，签发的证书也要符合该标准（比如EV证书中包含申请者的企业名称）。
◎虽然X.509标准很完善，规定了证书的作用、证书链的校验，但如果CA机构随意签发证书，最终带来的危害是巨大的，所以Baseline Requirement标准的补充很重要，用于限制CA机构的行为，规范证书签发。
一般来说，银行、电商企业、政府机构会申请EV证书，申请EV证书完成的时间比OV证书申请完成的时间要长。
对于EV证书，CA机构需要申请者提供更多信息进行身份审核，比如：
◎营业执照
◎公司法人身份证
◎公司地址

对于CA机构来说，不同类型的证书有不同的审核标准，对于用户来说肯定更信任EV证书，读者如何知道获取的证书是OV、OV、EV呢？
对于DV、OV证书，浏览器地址栏上会出现一个绿色小锁图标，而对于EV证书，浏览器地址栏上除了绿色小锁图标，还会出现企业的名称，显然用户更信任部署EV证书的网站。
相比DV、OV证书来说，EV证书还有其他的一些区别：
◎申请EV证书需要的花费会更高。
◎提供EV证书的CA机构服务也更好，比如有7×24小时在线服务。
◎EV证书提供的功能也更多，比如支持证书透明度，证书兼容性也更好。
◎对于EV证书，浏览器会更严格地校验证书，比如Chrome默认只会对EV证书进行OCSP校验，要求所有的EV证书必须支持证书透明度。

2.根据域名进行分类

根据证书中域名（主机）数量也可以对证书进行分类，共有四种类型的证书。

2.1.单域名证书

一张证书包含一个域名，价格相对便宜。

2.2.泛域名（Wildcard Domain）证书

多个子域名，这些子域名组合在一起就是泛域名，比如example.com注册域的泛域名就是.example.com, .example.com泛域名可以包含www1.example.com、www2.example.com、www3.example.com等主机。
那为什么要用泛域名证书呢？举个例子，某个企业拥有一个注册域example.com，现在需要开展一项新业务，分配一个www1.example.com主机，为该主机申请了一张证书，过了一段时间，又开展了一项新业务，分配了一个www2.example.com主机，那么如何申请证书呢？有两种策略：
◎为www2.example.com主机新生成一张证书。
◎在原有www1.example.com证书上，新增加一个主机www2.example.com。
第一种方式的缺点就在于每个主机要单独申请证书，如果未来还要分配主机，就需要再申请证书，证书管理非常复杂。
第二种方式就是泛域名证书，可以将多个同级的主机合并到一张证书中，泛域名证书的优点就在于增加新主机时不用更新证书，新增主机本来就包含在泛域名证书中。
“多个同级的主机合并到一张证书中”是非常关键的一句话，比如www1.www.example.com主机和www2.www.example.com主机不能合并到．example.com泛域名证书中，只能合并到．www.example.com证书中。

2.3.SAN（Subject Alternative Names）证书（多域名证书）

对于中大型规模的公司来说，可能有多个注册域，如果需要将多个不同的注册域合并到一张证书中，就需要申请SAN证书，比如可以将www.example.com、www.example.cn合并到一张证书中，这种证书也称为多域名证书。

2.4.SAN范域名证书

这种类型的证书结合了SAN证书和范域名证书的特点，比如将www.example.com、www.example.cn、.example.org域名合并到一张证书中。
这种证书非常昂贵，大型企业为了方便管理证书，一般采用这种类型的证书。需要注意的是，一个企业不应该使用多级主机，读者可以思考，如果一个企业有example.com、example.cn、example.org注册域，还有.www.example.com泛域名主机，如何申请证书？

最后需要强调的是，某些CA机构规定EV证书才能支持多主机或者泛域名，当然大部分CA机构没有该限制。

文章知识点与官方知识档案匹配，可进一步学习相关知识

网络技能树首页概览35186 人正在系统学习中