一篇文章让你搞懂 SSL 证书

关于结婚这件事

那天和同事讨论到底什么才算是真正的「结婚」？这种话题本来是极其不应该存在的。传统意义的领个证书，办个婚礼、吃吃喝喝，但随着社会各族人民身心发展进化，原本那些繁琐流程简直是反人类，貌似现在也根本就不存在不结婚不不能干的事儿了。当然，就算结过婚后双方不开心，一起去再领个证书吃顿饭，散伙后大家依然是「好朋友」的也很多存在着。

嗯，我今天其实就是想说「证书」这件事。

关于 SSL 你可能以后用的上

SSL 证书是由受信任的数字证书颁发机构 CA，在验证服务器身份后颁发，且具有服务器身份验证和数据传输加密功能。简单说就是让你网站通过 HTTPS 加密传输协议访问的一个必要文件。

那什么是数字证书颁发机构 CA ？

数字证书认证机构（Certificate Authority，缩写为CA），是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。CA 机构是独立的，没有相互关系，这些机构都是在webtrust认证审核下成立的。
签发主流机构：Symantec、Comodo、GeoTrust、DigiCert、GlobalSign 等。
机构之间的区别主要有：机构品牌、证书加密方式、保险额度、服务与质量、浏览器支持率等。当然，CA 机构也符合「越大越好」这个说法。

SSL 证书验证级别
除了机构之间存在差异，人与人之间存在差异，就连 SSL 证书之间也存在差异。
SSL证书根据验证级别，分为三种类型：

• 域名型SSL证书，简称DVSSL；
• 企业型SSL证书，简称OVSSL；
• 增强型SSL证书，简称EVSSL。

一张表简单看一下它们之间的差别：

对比	域名型SSL (DVSSL)	企业型SSL (OVSSL)	增强型SSL (EVSSL)
英文名称	Domain Validation SSL Certificate	Organization Validation SSL Certificate	Extended Validation SSL Certificate
审核内容	域名管理权限	域名管理权限；企业名称、地址、电话等信息的真实性；域名管理权限；	企业名称、地址、电话等信息的真实性；第三方数据库审查，例如邓白氏、114查号台、律师证明信等。
颁发周期	几分钟-几小时	3-5个工作日	5-7个工作日
赔付保障金	10-50万美金	50-150万美金	150-1750万美金
浏览器地址栏	https + 小锁标志	https + 小锁标志	https 小锁标志 + 绿色地址栏 + 公司名字直显在浏览器地址栏
证书详情	使用者身份只显示某某域名	使用者身份显示公司名称	使用者身份显示公司名称
一般用途	个人站点； iOS应用分发下载；登录等单纯https加密需求的链接	企业网站	企业官网、电商、P2P等互联网金融网站

SSL 证书域名类型
除了验证级别维度的不同，统一级别的证书，它又根据保护域名的数量需求，SSL 证书又分为：

• 单域名版：只保护一个域名，例如 www.abc.com 或者 login.abc.com 之类的单个域名

• 多域名版：一张证书可以保护多个域名，例如同时保护 www.abc.com , www.bcd.com, pay.efg.com 等

• 通配符版：一张证书保护同一个主域名下同一级的所有子域名，不限个数，形如 *.abc.com 。注意，通配符版只有 DVSSL 和 OVSSL 具有， EVSSL 不具有通配符版本。

是不是看下来唯一感觉是：好特么复杂阿？别急，忘了告诉你，其实最重要的是它们每个的价格也不同，真特么的！！！

证书购买

不废话，直接丢出来一个对比表格，我做的。

附上表格中购买地址：

• 阿里云：https://common-buy.aliyun.com/?spm=5176.8064714.317898.pricedetail1111.uEwMu6&commodityCode=cas#/buy

• 腾讯云：https://www.qcloud.com/document/product/400/7994
  TrustAsia®（亚洲诚信）

• 又拍云：http://docs.upyun.com/cdn/ssl/#ssl_1

• GoDaddy:https://sg.godaddy.com/zh/web-security/ssl-certificate

当然，这些云服务提供商好像都有免费的单域名 SSL 证书可以申请。我之前也写过一篇：《让你的网站免费支持 HTTPS 及 Nginx 平滑升级》

总结一下

这篇文章简单研究了一下所谓的 SSL 证书，并没有深入的探讨客户端与服务器端通过 SSL 证书如何进行加密传输的，推荐大家有空要研究研究，毕竟对你家网站升级 HTTPS 非常有用。

有人说升级 HTTPS 很简单，就是买个证书配置一下的事儿。呵呵，行吧。其实那是你服务少、业务简单，当你存在几十个域名、几十个服务的时候，前端页面、后端业务错综复杂的时候，你全站升级 HTTPS 试试看，说多了都是泪。下一篇，我打算详细讲讲全站 HTTPS 的注意事项和坑！！！