详解SSL证书系列(3)如何选择SSL证书

我们知道了在网站部署 SSL 证书后，不管是对网站本身还是对网站的用户都能够带来许多好处。那么随着 HTTPS的普及，市面上也出现了各种不同的 SSL 证书。并且由于 SSL 证书的多样性，很多人对于如何选择 SSL 证书有着很大的困惑。因此，本篇文章将从证书品牌，证书类型和域名类型三个方面提供合理性建议。

首先，我们来了解下 SSL证书的品牌。

一，证书品牌

SSL 证书是受浏览器信任的 CA 机构验证网站信息后进行签发的，所以依据 CA 机构的不同 SSL 证书品牌也不同。目前国外比较主流的 SSL 证书品牌有 GeoTrust、SecureSite、Globalsign、Let’s Encrypt和ZeroSSL 等，而国内比较知名的是 CFCA 证书。

1，GeoTrust

GeoTrust 是全球第二大数字证书提供商，也是身份认证和信任认证领域的领导者，该公司各种先进的技术使得任何大小的机构和公司都能安全、低成本的部署 SSL 数字证书和实现各种身份认证。

2，SecureSite

SecureSite 是最早通过 WebTrust 认证的服务商之一，是全球领先的数字证书认证机构，通过强大的加密功能和严格的身份认证，保护着全世界超过 50 万台服务器的安全。赛门铁克（Symantec）证书品牌 2020 年 4 月 30 日起更名为 SecureSite 品牌。

3，Globalsign

GlobalSign 是一家声誉卓著，备受信赖的 CA 中心和 SSL 数字证书提供商，在全球总计颁发超过 2000 万张数字证书；其专业实力获得中国市场众多服务器、域名注册商、系统服务供应商的青睐，成为其数字证书服务的合作伙伴。

4，Let’s Encrypt

Let's Encrypt 是一个由非营利性组织互联网安全研究小组（ISRG）提供的免费、自动化和开放的证书颁发机构（CA）。简单的说，借助 Let's Encrypt 颁发的证书可以为我们的网站免费启用 HTTPS(SSL/TLS) 。

5，ZeroSSL

ZeroSSL是一家致力于为用户提供高效、安全且易于使用的SSL证书服务的公司。他们通过创新的技术和强大的功能，帮助用户轻松实现HTTPS加密，提升网站的安全性和用户信任度。

二，证书类型

SSL 证书的类型也因验证级别而异，CA 检查拥有网站的个人或公司的合法性的程度。SSL 证书安全等级主要是受到 SSL 证书验证等级的影响，验证等级越高，那么安全等级也就越高。

依据证书安全级别，可分为：域名型、企业型和增强型三种，我们日常也通常称之为 DV、OV、EV 证书。

1，域名型 (DV) SSL 证书

DV 是最简单的 SSL 证书验证形式，仅适用于域名所有权验证。它通常通过电子邮件验证完成，不需要 CA 的任何进一步调查。这也是获取 SSL 证书最便宜、最快捷的方式。即证书颁布机构只对域名的所有者进行在线检查，通常是验证域名下某个指定文件的内容，或者验证与域名相关的某条 TXT 记录。

该证书中只包含域名信息，表现形式为地址栏显示安全锁 +https；一般在 10 分钟左右完成域名验证和颁发证书。

2，企业型 (OV) SSL 证书

OV 是要购买者提交组织机构资料和单位授权信等在官方注册的凭证，要获得 OV 证书，注册人通常需要向 CA 提供证明其公司名称、实际地址、电话号码和法律地位的文件。证书颁发机构在签发 SSL 证书前不仅要检验域名所有权，还必须对这些资料的真实合法性进行多方查验，只有通过验证的才能颁发 SSL 证书。

该证书中包含企业详情信息，表现形式为地址栏显示安全锁 +https；一般在 1 至 3 个工作日内签发。

3，增强型 (EV) SSL 证书

EV 证书与其他 SSL 证书一样，都是基于 SSL/TLS 安全协议，但是验证流程更加具体详细。它重点强调部署于网站安全和品牌可信形象的网站，涉及交易支付、客户隐私信息和账号密码的传输。EV 证书跟普通 SSL 证书的区别也是明显的，安全浏览器的地址栏变绿，如果是不受信的 SSL 证书则拒绝显示，如果是钓鱼网站，地址栏则会变成红色，以警示用户。

该证书中不仅包含企业详情信息，而且表现形式为绿色地址栏显示公司名称+安全锁+ https；一般在 2 至 5 个工作日内签发。

除了上述类型，又拍云还支持 OV、EV SSL 证书的专业版，针对算法，安全强度做了进一步升级，更专业，更安全。

了解完 SSL 证书的安全级别，让我们看看根据域名数量证书该如何选择。

三，域名类型

通过域名类型区分 SSL 证书，有以下三种不同类型：

单域名 SSL 证书
多域名 SSL 证书
泛域名 SSL 证书（也叫通配符证书）

SSL 证书根据不同类型其支持功能也不一样。顾名思义，单域名证书就是指对单个域名进行保护，多域名证书和泛域名证书指对多个域名进行保护；然而它们之间是有区别的，区别如下图所示：

了解完 SSL 证书类型后，我们就可以根据不同类型来选择网站适合的证书了。

四，总结

1，对于个人用户

对于个人用户，如果没有强加密需求，可选择付费/免费 DV 证书，验证简单，价格便宜；并且免费 DV 证书对于个人博客、小微企业、API 服务等的服务，可以节省一笔不菲的开支，足以满足基本的加密要求。

2，企业用户

对于企业用户，可选择 OV SSL 证书和 EV SSL 证书，这 2 种验证类型都可验证企业真实身份，使企业变得更加可信赖。EV SSL 证书当前的验证等级最高的类型，可通过 SSL 证书来彰显品牌形象，为消费者塑造更加可靠的形象。

网站在选择购买 SSL 证书前，还需要确定 SSL 证书域名数量，挑选网站适用的。比如：拥有子域名的网站就选泛域名证书，拥有多个域名的网站则应当选多域名型证书。并且为网站选择一款合适的 SSL 品牌也是至关重要的，只有权威可靠的 SSL 证书，才能为网站提供有效的加密保护。

另外，我最近开发和开源了一个平台：华迅FreeCert平台，支持免费的SSL证书，通配符证书的申请和托管，配合自动部署工具可以实现证书的自动化更新和部署，感兴趣的同学可以试一下。