SSL证书基础知识

公司要为一个英国的客户提供由HTTP升级到HTTPS的服务，于是接触查询并学习了相关的SSL证书方面的内容，并整理了一翻。

I、SSL证书说明

SSL 证书按大类一般可分为 DV SSL 、OV SSL 、EV SSL 证书。

一、DV SSL证书

域名型（基础型）SSL证书，英文名为：Domain Validation SSL Certificate。保证了网站的机密信息从用户浏览器到服务器之间的传输是高强度加密传输的，不被非法窃取和篡改。

审核内容：

验证域名的所有权

签发周期：

几分钟-几小时

审核内容：

即证书颁布机构只对域名的所有者进行在线检查，通常是验证域名下某个指定文件的内容，或者验证与域名相关的某条 TXT 记录；

比如访问 [http|https]://http://www.domain.com/…/test.txt，文件内容： 2016082xxxxx39w7b20nelfa；

或在与域名相关的DNS服务器上添加一条 TXT 记录：http://www.domain.com –> TXT –> 20170xxxxxqmkiby43hpvy8

证书特点：

签发速度快，但不能证明网站的真实身份。

适用场景：

个人站点

提示：

DV SSL证书签发速度快，能够保证信息传输安全，价格便宜，对于个人网站是一个不错的选择。

二、OV SSL证书

企业型证书，英文名：Organization Validation SSL Certificate。需要验证网站所属单位真实身份的标准型SSL证书，不仅能起到网站机密信息加密的作用，而且能向用户证明网站的真实身份。

审核内容：

需要对域名所有权及网站企业身份进行严格审查。

签发周期：

3-5个工作日

审核内容：

是要购买者提交组织机构资料和单位授权信等在官方注册的凭证，证书颁发机构在签发 SSL 证书前不仅仅要检验域名所有权，还必须对这些资料的真实合法性进行多方查验，只有通过验证的才能颁发 SSL 证书。

证书特点：

为所有主流的浏览器和移动设备所信任，免费证书安装状态检查，证书标示企业组织机构详情，强化信任度。

适用场景：

企事业单位网站

提示：

OV SSL证书既能保证加密传输，也能证明网站的真实身份，安全性和可信任度更高，价格适中，是企事业单位网站一个不错的选择。

三、EV SSL证书

又名增强型或扩展型SSL证书，英文名为：Extended Validation SSL Certificate。它是由数字证书颁发机构和主流浏览器开发商共同制定的一个新的SSL证书严格身份验证标准，是目前业界安全级别最高的顶级SSL证书。

审核内容：

不仅需要对域名所有权及网站企业身份进行严格审查，还增加了严格的第三方身份审核，确保证书持有方的真实性。所谓的第三方身份审核，指的是需要有权威的第三方进行担保。

签发周期：

5-7个工作日

证书特点：

如果是不受信的 SSL 证书则拒绝显示，浏览器地址栏则会变成红色，以警示用户。

适用场景：

企事业单位网站

II、常见 CA 厂商对比

1、 Comodo是美国优秀的SSL证书提供商，它的产品以严谨出名，其SSL证书特点是价格低，颁发速度快，是中小型企业和个人用户首选的ssl证书品牌。

购买SSL证书网址：https://www.comodoca.com/

现在Comodo已经改名为Sectigo。网址是：https://sectigo.com/

2、Symantec(赛门铁克)是美国高端ssl证书提供商之一，提供全球权威、可信的ssl数字证书，兼容大多数以上的服务器和浏览器，采用强大的加密功能保护网站和内外网，为电子商务和机密通信提供安全保障。（2017年8月2日，DigiCert以9.5亿美元现金和DigiCert业务的30%股权收购赛门铁克安全认证业务。）

购买SSL证书网址：https://www.digicert.com/

3、Geotrust是ssl数字证书颁发机构，也是信任认证和身份认证领域的佼佼者，用户可低成本部署SSL数字证书保证任何大小的机构和企业网站的安全。

购买SSL证书网址：https://www.geotrust.com/

III、其它项

一、不论是 DV、OV 还是 EV 证书，其加密效果都是一样的！ 它们的区别在于：

• DV（Domain Validation），面向个体用户，安全体系相对较弱，验证方式就是向 whois 信息中的邮箱发送邮件，按照邮件内容进行验证即可通过；
• OV（Organization Validation），面向企业用户，证书在 DV 证书验证的基础上，还需要公司的授权，CA 通过拨打信息库中公司的电话来确认；
• EV（Extended Validation），打开 Github 的网页，你会看到 URL 地址栏展示了注册公司的信息，这会让用户产生更大的信任，这类证书的申请除了以上两个确认外，还需要公司提供金融机构的开户许可证，要求十分严格。

OV 和 EV 证书相当昂贵，使用方可以为这些颁发出来的证书买保险，一旦 CA 提供的证书出现问题，一张证书的赔偿金可以达到 100w 刀以上。

二、通配符证书和单域名SSL证书定义区别：

　　通配符证书：通配符SSL证书又叫泛域名SSL证书，可保护一个域名以及该域名所有下一级域名，不限制下级域名数量。例如：*anxinssl.com、blog.anxinssl.com、store.anxinssl.com等，不限制子域数量，后续添加新的子域无须重新审核和另外付费。

　　单域名SSL证书：单域名SSL证书可以保护一个域名，可以是顶级域名（默认带www和不带www）也可以是二级域名，例如：anxinssl.com申请单域名SSL证书, 则www的也可以被保护。如果您为login.anxinssl.com申请的，则只能保护这一个。

通配符证书和单域名SSL证书的具体区别：

　　1）保护域名数量的不同：通配符证书可以保护同一个域名下的无限子域，而单域名SSL证书只能保护一个域名。

　　2）支持的验证方式不同：通配符证书的验证方式只有DV SSL证书和OV SSL证书2种；而单域名SSL证书有DV SSL证书、OV SSL证书、EV SSL证书3种.

　　注解：DV SSL证书：域名验证型；OV SSL证书（组织验证型）；EV SSL证书（扩展验证型）

　　3）价格不同：单域名SSL证书一般只要百元左右，而便宜发通配符证书也需要500~1000之间。

　　4）适用用户不同：通配符证书适合拥有大量的二级域名/子域用户申请安装；单域名SSL证书适合单个域名且后续无计划添加新域名的用户申请。

三、使用IP申请证书需要满足的条件如下：

1、公网IP （内网IP不可以）

2、申请者对这个IP有管理权限

3、申请者必须是企业或者组织机构（个人不可以）

4、只有ov ssl证书可以支持IP申请

5、可以申请单IP证书或多IP证书，不支持IP段的通配

参考文章：

https://www.barretlee.com/blog/2016/04/24/detail-about-ca-and-certs/

https://www.shuzizhengshu.com/html/zixun/mtbb/item-147.html

https://www.sohu.com/a/233532973_100086946

https://www.sslzhengshu.com/brand/index.html

https://www.sslzhengshu.com/article/post-838.html

https://www.zhihu.com/question/45395161