SSL证书的分类主要是通过下面两个维度进行分类:

1.根据验证模式分类

根据CA机构对申请者的身份审核范围分为:DV证书、OV证书、EV证书。

1.1.DV证书(域名证书)

DV(Domain Validated)证书是最常见的一种证书类型,大多数免费证书都此类证书。CA机构获取CSR证书请求后,从中取出域名,校验域名的所有权与证书申请者是否一致,一致代表身份审核通过,CA机构发放DV证书。
由于DV证书在审核时,CA不会对申请者的身份进行严格的审核,某些恶意的攻击者会通过一些方法(比如DNS劫持)冒充服务器实体向CA机构申请证书,CA机构可能会给攻击者签发恶意的证书。
一般来说,DV证书更适合于个人网站。

1.2.OV证书(机构证书)

对于OV(Organization Validated)证书,CA机构会对申请者的身份进行严格的审核,从而给用户(浏览器)提供更安全的信任。
CA根据严格的标准会审核申请者身份,比如说审核申请者的企业资质、企业地址等消息,确保申请者的身份是真实的。
一般来说,企业和政府机构一般会申请OV证书,由于审核申请者的身份需要时间,申请OV证书完成的时间比DV证书申请完成的时间要长。

1.3.EV证书

对于EV(Extended Validation)证书,CA机构会对申请者的身份进行更严格的审核,对于CA机构来说,CA机构会严格根据CA/Browser论坛制定的标准审核申请者的身份,该标准称为Baseline Requirement标准,是由浏览器厂商、CA等机构创建的。
Baseline Requirement标准包含的内容比较广泛:
◎审核证书申请者身份的标准。
◎浏览器嵌入CA根证书的标准。
◎企业成为CA机构的标准。
◎浏览器校验证书的标准,比普通DV证书有更严格的校验。
◎证书包含属性的标准。
读者在理解的时候要注意区分X.509标准和Baseline Requirement标准:
◎这两个标准是不同的组织制定的。
◎X.509标准更多规定证书的结构和组成,Baseline Requirement标准规定申请者身份审核的流程,一家组织要成为CA机构也必须符合该标准,签发的证书也要符合该标准(比如EV证书中包含申请者的企业名称)。
◎虽然X.509标准很完善,规定了证书的作用、证书链的校验,但如果CA机构随意签发证书,最终带来的危害是巨大的,所以Baseline Requirement标准的补充很重要,用于限制CA机构的行为,规范证书签发。
一般来说,银行、电商企业、政府机构会申请EV证书,申请EV证书完成的时间比OV证书申请完成的时间要长。
对于EV证书,CA机构需要申请者提供更多信息进行身份审核,比如:
◎营业执照
◎公司法人身份证
◎公司地址

对于CA机构来说,不同类型的证书有不同的审核标准,对于用户来说肯定更信任EV证书,读者如何知道获取的证书是OV、OV、EV呢?
对于DV、OV证书,浏览器地址栏上会出现一个绿色小锁图标,而对于EV证书,浏览器地址栏上除了绿色小锁图标,还会出现企业的名称,显然用户更信任部署EV证书的网站。
相比DV、OV证书来说,EV证书还有其他的一些区别:
◎申请EV证书需要的花费会更高。
◎提供EV证书的CA机构服务也更好,比如有7×24小时在线服务。
◎EV证书提供的功能也更多,比如支持证书透明度,证书兼容性也更好。
◎对于EV证书,浏览器会更严格地校验证书,比如Chrome默认只会对EV证书进行OCSP校验,要求所有的EV证书必须支持证书透明度。

2.根据域名进行分类

根据证书中域名(主机)数量也可以对证书进行分类,共有四种类型的证书。

2.1.单域名证书

一张证书包含一个域名,价格相对便宜。

2.2.泛域名(Wildcard Domain)证书

多个子域名,这些子域名组合在一起就是泛域名,比如example.com注册域的泛域名就是.example.com, .example.com泛域名可以包含www1.example.com、www2.example.com、www3.example.com等主机。
那为什么要用泛域名证书呢?举个例子,某个企业拥有一个注册域example.com,现在需要开展一项新业务,分配一个www1.example.com主机,为该主机申请了一张证书,过了一段时间,又开展了一项新业务,分配了一个www2.example.com主机,那么如何申请证书呢?有两种策略:
◎为www2.example.com主机新生成一张证书。
◎在原有www1.example.com证书上,新增加一个主机www2.example.com。
第一种方式的缺点就在于每个主机要单独申请证书,如果未来还要分配主机,就需要再申请证书,证书管理非常复杂。
第二种方式就是泛域名证书,可以将多个同级的主机合并到一张证书中,泛域名证书的优点就在于增加新主机时不用更新证书,新增主机本来就包含在泛域名证书中。
“多个同级的主机合并到一张证书中”是非常关键的一句话,比如www1.www.example.com主机和www2.www.example.com主机不能合并到.example.com泛域名证书中,只能合并到.www.example.com证书中。

2.3.SAN(Subject Alternative Names)证书(多域名证书)

对于中大型规模的公司来说,可能有多个注册域,如果需要将多个不同的注册域合并到一张证书中,就需要申请SAN证书,比如可以将www.example.com、www.example.cn合并到一张证书中,这种证书也称为多域名证书。

2.4.SAN范域名证书

这种类型的证书结合了SAN证书和范域名证书的特点,比如将www.example.com、www.example.cn、.example.org域名合并到一张证书中。
这种证书非常昂贵,大型企业为了方便管理证书,一般采用这种类型的证书。需要注意的是,一个企业不应该使用多级主机,读者可以思考,如果一个企业有example.com、example.cn、example.org注册域,还有
.www.example.com泛域名主机,如何申请证书?

最后需要强调的是,某些CA机构规定EV证书才能支持多主机或者泛域名,当然大部分CA机构没有该限制。

文章知识点与官方知识档案匹配,可进一步学习相关知识
网络技能树首页概览35186 人正在系统学习中

[转帖]SSL数字证书分类DV/OV/EV的更多相关文章

  1. SSL 证书类型说明: DV OV EV

    内容来自: ssl 证书的三种类型: dv (域名型) , ov (企业型) 和 ev (扩展型) OV.DV和EV证书的区别 另外: 浏览器兼容性测试报告 Symantec 证书为什么相比其他证书要 ...

  2. https证书/即SSL数字证书申请途径和流程

    国际CA机构GlobalSign中国 数字证书颁发中心网站:http://cn.globalsign.com    https证书即SSL数字证书,是广泛用 于网站通讯加密传输的解决方案,是提供通信保 ...

  3. [转]浅谈https\ssl\数字证书

    浅谈https\ssl\数字证书 http://www.cnblogs.com/P_Chou/archive/2010/12/27/https-ssl-certification.html 全球可信的 ...

  4. 浅谈https\ssl\数字证书

    全球可信的SSL数字证书申请:http://www.shuzizhengshu.com 在互联网安全通信方式上,目前用的最多的就是https配合ssl和数字证书来保证传输和认证安全了.本文追本溯源围绕 ...

  5. 【转】浅谈https\ssl\数字证书

    转载请注明出处:http://www.cnblogs.com/P_Chou/archive/2010/12/27/https-ssl-certification.html 全球可信的SSL数字证书申请 ...

  6. HTTPS协议工作原理(SSL数字证书)

    目录 HTTPS SSL协议的工作过程 SSL数字证书的查看 HTTPS 我们都知道HTTP协议是明文传输的,并且不能验证对方的身份,而且不能保证数据的完整性.而当我们在网络上进行购物电子交易时,电子 ...

  7. OpenSSL 与 SSL 数字证书概念贴

    SSL/TLS 介绍见文章 SSL/TLS原理详解(http://seanlook.com/2015/01/07/tls-ssl). 如果你想快速自建CA然后签发数字证书,请移步 基于OpenSSL自 ...

  8. SSL数字证书Nginx配置部署

    由于小程序和Ios端的需要,公司的项目需要从原来的http协议扩展到https协议,因为项目本来就有采用nginx做了负载均衡,但是之前配置nginx的时候并没有配置关于https的内容,所以需要做这 ...

  9. 对称(DES/AES)与非对称(RSA/SSL/数字证书)加密介绍及实际应用

    本文不对具体的算法做深入研究,只是讲解各种安全算法的原理和使用场景. 一.数据校验算法 数据校验,是为保护数据的完整性,用一种指定的算法对原始数据计算出的一个校验值.当接收方用同样的算法再算一次校验值 ...

  10. 通俗理解数字签名,ssl数字证书和https

    前言 最近在开发关于PDF合同文档电子签章的功能,大概意思就是在一份PDF合同上签名,盖章,使其具有法律效应.签章有法律效应必须满足两个条件: 能够证明签名,盖章者是谁,无法抵赖 PDF合同在签章后不 ...

随机推荐

  1. 我开源了一个 Go 学习仓库

    目录 前言 一.综述 1.1 Hello Word 1.2 命令行参数 1.3 查找重复行 1.4 GIF 动画 1.5 获取一个URL 1.6 并发获取多个URL 1.7 实现一个 Web 服务器 ...

  2. 2020-12-17:java和go,如何高效的拼接字符串?

    福哥答案2020-12-17: java: stringbuilder 线程不安全. stringbuffer 线程安全. go:答案来自此链接: 1.在已有字符串数组的场合,使用 strings.J ...

  3. Vue接入谷歌广告(Google Adsense)

    1.注册账户 首先你要拥有一个google账号,点击注册谷歌账号,点击个人账号根据提示一步一步来即可注册成功.(当然你需要魔法才可以正常访问谷歌服务) 2.补充账户信息,申请广告授权 点击进入Goog ...

  4. 如何使用ffmpeg转换图片格式

    ffmpeg简介与图片格式介绍 windows安装ffmpeg,从如下网站下载release版本 https://www.gyan.dev/ffmpeg/builds/ ffmpeg 6.1版本仍然不 ...

  5. Flume快速入门

    Flume快速入门 一.简介 高可用.高可靠,分布式的海量日志采集.聚合和传输系统,基于流式架构,灵活简单. event:事件 source:数据源 sink:目标 channel:数据管道 通过获取 ...

  6. 数仓性能调优:row_number() over(p)-rn=1性能瓶颈发现和改写套路

    本文分享自华为云社区<GaussDB(DWS)性能调优:row_number() over(p)-rn=1性能瓶颈发现和改写套路>,作者:Zawami . 1.改写场景 本套路应用于子查询 ...

  7. 移动应用中的第三方SDK隐私合规检测,早知道

    摘要: 在移动应用隐私合规检测中,第三方SDK隐私声明由于其展现位置展现形式的多样性,自动化提取与解析是比较困难的任务. 本文分享自华为云社区<移动应用中的第三方SDK隐私合规检测>,作者 ...

  8. Log4Shell 漏洞披露已近一年,它对我们还有影响吗?

    在 Log4Shell 高危漏洞事件披露几乎整整一年之后,新的数据显示,对全球大多数组织来说,补救工作是一个漫长.缓慢.痛苦的过程. 根据漏洞扫描领先者 Tenable 公司的遥测数据来看,截至今年1 ...

  9. MySQL java new dat() 后插入数据库的时间不一致

    别用时间字段,做为关联字段,代码里的时间和插到数据库中有误差 MySQL java new dat() 后插入数据库的时间不一致,代码里new 的时间插到数据库中不一致

  10. Word 文档怎么保留修改前和修改后的内容--审阅 修订

    如果启用了修订内容后,对文档的内容进行了相关的修改后.则文档可以同时显示被修改的内容和修改后的内容.下面,本文通过举例具体介绍如何使用修订功能. 点击选中文档内容,然后依次点击[审阅]-[修订]-[修 ...