[转帖]SSL数字证书分类DV/OV/EV
SSL证书的分类主要是通过下面两个维度进行分类:
1.根据验证模式分类
根据CA机构对申请者的身份审核范围分为:DV证书、OV证书、EV证书。
1.1.DV证书(域名证书)
DV(Domain Validated)证书是最常见的一种证书类型,大多数免费证书都此类证书。CA机构获取CSR证书请求后,从中取出域名,校验域名的所有权与证书申请者是否一致,一致代表身份审核通过,CA机构发放DV证书。
由于DV证书在审核时,CA不会对申请者的身份进行严格的审核,某些恶意的攻击者会通过一些方法(比如DNS劫持)冒充服务器实体向CA机构申请证书,CA机构可能会给攻击者签发恶意的证书。
一般来说,DV证书更适合于个人网站。
1.2.OV证书(机构证书)
对于OV(Organization Validated)证书,CA机构会对申请者的身份进行严格的审核,从而给用户(浏览器)提供更安全的信任。
CA根据严格的标准会审核申请者身份,比如说审核申请者的企业资质、企业地址等消息,确保申请者的身份是真实的。
一般来说,企业和政府机构一般会申请OV证书,由于审核申请者的身份需要时间,申请OV证书完成的时间比DV证书申请完成的时间要长。
1.3.EV证书
对于EV(Extended Validation)证书,CA机构会对申请者的身份进行更严格的审核,对于CA机构来说,CA机构会严格根据CA/Browser论坛制定的标准审核申请者的身份,该标准称为Baseline Requirement标准,是由浏览器厂商、CA等机构创建的。
Baseline Requirement标准包含的内容比较广泛:
◎审核证书申请者身份的标准。
◎浏览器嵌入CA根证书的标准。
◎企业成为CA机构的标准。
◎浏览器校验证书的标准,比普通DV证书有更严格的校验。
◎证书包含属性的标准。
读者在理解的时候要注意区分X.509标准和Baseline Requirement标准:
◎这两个标准是不同的组织制定的。
◎X.509标准更多规定证书的结构和组成,Baseline Requirement标准规定申请者身份审核的流程,一家组织要成为CA机构也必须符合该标准,签发的证书也要符合该标准(比如EV证书中包含申请者的企业名称)。
◎虽然X.509标准很完善,规定了证书的作用、证书链的校验,但如果CA机构随意签发证书,最终带来的危害是巨大的,所以Baseline Requirement标准的补充很重要,用于限制CA机构的行为,规范证书签发。
一般来说,银行、电商企业、政府机构会申请EV证书,申请EV证书完成的时间比OV证书申请完成的时间要长。
对于EV证书,CA机构需要申请者提供更多信息进行身份审核,比如:
◎营业执照
◎公司法人身份证
◎公司地址
对于CA机构来说,不同类型的证书有不同的审核标准,对于用户来说肯定更信任EV证书,读者如何知道获取的证书是OV、OV、EV呢?
对于DV、OV证书,浏览器地址栏上会出现一个绿色小锁图标,而对于EV证书,浏览器地址栏上除了绿色小锁图标,还会出现企业的名称,显然用户更信任部署EV证书的网站。
相比DV、OV证书来说,EV证书还有其他的一些区别:
◎申请EV证书需要的花费会更高。
◎提供EV证书的CA机构服务也更好,比如有7×24小时在线服务。
◎EV证书提供的功能也更多,比如支持证书透明度,证书兼容性也更好。
◎对于EV证书,浏览器会更严格地校验证书,比如Chrome默认只会对EV证书进行OCSP校验,要求所有的EV证书必须支持证书透明度。
2.根据域名进行分类
根据证书中域名(主机)数量也可以对证书进行分类,共有四种类型的证书。
2.1.单域名证书
一张证书包含一个域名,价格相对便宜。
2.2.泛域名(Wildcard Domain)证书
多个子域名,这些子域名组合在一起就是泛域名,比如example.com注册域的泛域名就是.example.com, .example.com泛域名可以包含www1.example.com、www2.example.com、www3.example.com等主机。
那为什么要用泛域名证书呢?举个例子,某个企业拥有一个注册域example.com,现在需要开展一项新业务,分配一个www1.example.com主机,为该主机申请了一张证书,过了一段时间,又开展了一项新业务,分配了一个www2.example.com主机,那么如何申请证书呢?有两种策略:
◎为www2.example.com主机新生成一张证书。
◎在原有www1.example.com证书上,新增加一个主机www2.example.com。
第一种方式的缺点就在于每个主机要单独申请证书,如果未来还要分配主机,就需要再申请证书,证书管理非常复杂。
第二种方式就是泛域名证书,可以将多个同级的主机合并到一张证书中,泛域名证书的优点就在于增加新主机时不用更新证书,新增主机本来就包含在泛域名证书中。
“多个同级的主机合并到一张证书中”是非常关键的一句话,比如www1.www.example.com主机和www2.www.example.com主机不能合并到.example.com泛域名证书中,只能合并到.www.example.com证书中。
2.3.SAN(Subject Alternative Names)证书(多域名证书)
对于中大型规模的公司来说,可能有多个注册域,如果需要将多个不同的注册域合并到一张证书中,就需要申请SAN证书,比如可以将www.example.com、www.example.cn合并到一张证书中,这种证书也称为多域名证书。
2.4.SAN范域名证书
这种类型的证书结合了SAN证书和范域名证书的特点,比如将www.example.com、www.example.cn、.example.org域名合并到一张证书中。
这种证书非常昂贵,大型企业为了方便管理证书,一般采用这种类型的证书。需要注意的是,一个企业不应该使用多级主机,读者可以思考,如果一个企业有example.com、example.cn、example.org注册域,还有.www.example.com泛域名主机,如何申请证书?
最后需要强调的是,某些CA机构规定EV证书才能支持多主机或者泛域名,当然大部分CA机构没有该限制。
[转帖]SSL数字证书分类DV/OV/EV的更多相关文章
- SSL 证书类型说明: DV OV EV
内容来自: ssl 证书的三种类型: dv (域名型) , ov (企业型) 和 ev (扩展型) OV.DV和EV证书的区别 另外: 浏览器兼容性测试报告 Symantec 证书为什么相比其他证书要 ...
- https证书/即SSL数字证书申请途径和流程
国际CA机构GlobalSign中国 数字证书颁发中心网站:http://cn.globalsign.com https证书即SSL数字证书,是广泛用 于网站通讯加密传输的解决方案,是提供通信保 ...
- [转]浅谈https\ssl\数字证书
浅谈https\ssl\数字证书 http://www.cnblogs.com/P_Chou/archive/2010/12/27/https-ssl-certification.html 全球可信的 ...
- 浅谈https\ssl\数字证书
全球可信的SSL数字证书申请:http://www.shuzizhengshu.com 在互联网安全通信方式上,目前用的最多的就是https配合ssl和数字证书来保证传输和认证安全了.本文追本溯源围绕 ...
- 【转】浅谈https\ssl\数字证书
转载请注明出处:http://www.cnblogs.com/P_Chou/archive/2010/12/27/https-ssl-certification.html 全球可信的SSL数字证书申请 ...
- HTTPS协议工作原理(SSL数字证书)
目录 HTTPS SSL协议的工作过程 SSL数字证书的查看 HTTPS 我们都知道HTTP协议是明文传输的,并且不能验证对方的身份,而且不能保证数据的完整性.而当我们在网络上进行购物电子交易时,电子 ...
- OpenSSL 与 SSL 数字证书概念贴
SSL/TLS 介绍见文章 SSL/TLS原理详解(http://seanlook.com/2015/01/07/tls-ssl). 如果你想快速自建CA然后签发数字证书,请移步 基于OpenSSL自 ...
- SSL数字证书Nginx配置部署
由于小程序和Ios端的需要,公司的项目需要从原来的http协议扩展到https协议,因为项目本来就有采用nginx做了负载均衡,但是之前配置nginx的时候并没有配置关于https的内容,所以需要做这 ...
- 对称(DES/AES)与非对称(RSA/SSL/数字证书)加密介绍及实际应用
本文不对具体的算法做深入研究,只是讲解各种安全算法的原理和使用场景. 一.数据校验算法 数据校验,是为保护数据的完整性,用一种指定的算法对原始数据计算出的一个校验值.当接收方用同样的算法再算一次校验值 ...
- 通俗理解数字签名,ssl数字证书和https
前言 最近在开发关于PDF合同文档电子签章的功能,大概意思就是在一份PDF合同上签名,盖章,使其具有法律效应.签章有法律效应必须满足两个条件: 能够证明签名,盖章者是谁,无法抵赖 PDF合同在签章后不 ...
随机推荐
- 我开源了一个 Go 学习仓库
目录 前言 一.综述 1.1 Hello Word 1.2 命令行参数 1.3 查找重复行 1.4 GIF 动画 1.5 获取一个URL 1.6 并发获取多个URL 1.7 实现一个 Web 服务器 ...
- 2020-12-17:java和go,如何高效的拼接字符串?
福哥答案2020-12-17: java: stringbuilder 线程不安全. stringbuffer 线程安全. go:答案来自此链接: 1.在已有字符串数组的场合,使用 strings.J ...
- Vue接入谷歌广告(Google Adsense)
1.注册账户 首先你要拥有一个google账号,点击注册谷歌账号,点击个人账号根据提示一步一步来即可注册成功.(当然你需要魔法才可以正常访问谷歌服务) 2.补充账户信息,申请广告授权 点击进入Goog ...
- 如何使用ffmpeg转换图片格式
ffmpeg简介与图片格式介绍 windows安装ffmpeg,从如下网站下载release版本 https://www.gyan.dev/ffmpeg/builds/ ffmpeg 6.1版本仍然不 ...
- Flume快速入门
Flume快速入门 一.简介 高可用.高可靠,分布式的海量日志采集.聚合和传输系统,基于流式架构,灵活简单. event:事件 source:数据源 sink:目标 channel:数据管道 通过获取 ...
- 数仓性能调优:row_number() over(p)-rn=1性能瓶颈发现和改写套路
本文分享自华为云社区<GaussDB(DWS)性能调优:row_number() over(p)-rn=1性能瓶颈发现和改写套路>,作者:Zawami . 1.改写场景 本套路应用于子查询 ...
- 移动应用中的第三方SDK隐私合规检测,早知道
摘要: 在移动应用隐私合规检测中,第三方SDK隐私声明由于其展现位置展现形式的多样性,自动化提取与解析是比较困难的任务. 本文分享自华为云社区<移动应用中的第三方SDK隐私合规检测>,作者 ...
- Log4Shell 漏洞披露已近一年,它对我们还有影响吗?
在 Log4Shell 高危漏洞事件披露几乎整整一年之后,新的数据显示,对全球大多数组织来说,补救工作是一个漫长.缓慢.痛苦的过程. 根据漏洞扫描领先者 Tenable 公司的遥测数据来看,截至今年1 ...
- MySQL java new dat() 后插入数据库的时间不一致
别用时间字段,做为关联字段,代码里的时间和插到数据库中有误差 MySQL java new dat() 后插入数据库的时间不一致,代码里new 的时间插到数据库中不一致
- Word 文档怎么保留修改前和修改后的内容--审阅 修订
如果启用了修订内容后,对文档的内容进行了相关的修改后.则文档可以同时显示被修改的内容和修改后的内容.下面,本文通过举例具体介绍如何使用修订功能. 点击选中文档内容,然后依次点击[审阅]-[修订]-[修 ...