如何选择 HTTPS/SSL 证书?

通常考虑的因素:

  • 是否支持多域名、泛域名
  • 价格
  • 信息泄露的保额
  • 厂商是国内还是国外
  • 证书在浏览器上显示的小图标样式

SSL证书分为四大类:

  • DV 证书
  • OV 证书
  • EV 证书
  • 自签名证书

自签名证书很少被部署到正式的网站上,一般是被用在内部的测试环境中,这里就不做介绍。

DV 证书

DV 证书即 Domain Validation Certificate。

用于验证一个或多个域名的所有权,无需递交纸质文件,仅验证域名管理权(即 whois 信息中的管理员邮箱验证),无需人工验证申请单位真实身份。

OV 证书

OV 证书即 Organization Validation CErtificate。 OV 证书用于验证此域名由特定组织或单位所拥有的域名,在 DV 证书的基础上,增加了企业认证信息。

申请此类证书,通过证书颁发机构审查网站企业身份和域名所有权以证明申请单位是一个合法存在的真实实体,CA 机构将在人工核实后签发证书。

DV 证书和 OV 证书在浏览器上显示的图标为:

EV 证书

EV 证书即 Extended Validation Certificate EV 证书是目前最高信任级别的证书,通过极其严格、苛刻的审查来验证网站企业身份和域名所有权,确保网站身份的真实可靠。一般会要求提供纸质材料。

例如 GitHub 采用的是 EV 证书,所以浏览器地址栏显示了企业名,并采用了目前最推荐的安全加密算法套件:TLS1.2(协议版本)+ ECDHE_RSA(密钥协商交换)+ AES_128_GCM(对称加密)。

EV 证书在浏览器上显示的图标为:

除了认证等级和显示图标的区别,三类证书在域名的支持性、价格、赔偿费用上也是不相同的。

总结下:

  • 如果是个人网站或初期的企业网站,可以选择 DV 证书
  • 如果是综合性的企业门户网站,可以选择 OV 证书
  • 如果是金融类的企业网站,域名需求没有那么多,可以选择 EV 证书

哪个SSL证书厂商是可以被信赖的?

SSL证书的厂商非常多,也没有绝对的好与坏之分。不过我们也可以从行业内影响力、历史安全问题、市场占有率等角度来评判。

这也是目前行业中比较公认的可信任厂商,可以看到前六名分别是:

  • Comodo
  • Symantec
  • Godaddy
  • GlobalSign
  • IdenTrust
  • DigiCert

个人博客网站,可以考虑以下免费 SSL 证书:

  • 阿里云 Symantec 免费证书(云盾-HTTPS证书)
  • 腾讯云 GeoTrust 免费证书 http://www.laozuo.org/8681.html
  • StartSSL
  • Let’s Encrypt
  • Namecheap

参考文章: