公司要为一个英国的客户提供由HTTP升级到HTTPS的服务,于是接触查询并学习了相关的SSL证书方面的内容,并整理了一翻。

I、SSL证书说明

SSL 证书按大类一般可分为 DV SSL 、OV SSL 、EV SSL 证书。

一、DV SSL证书

域名型(基础型)SSL证书,英文名为:Domain Validation SSL Certificate。保证了网站的机密信息从用户浏览器到服务器之间的传输是高强度加密传输的,不被非法窃取和篡改。

审核内容:

验证域名的所有权

签发周期:

几分钟-几小时

审核内容:

即证书颁布机构只对域名的所有者进行在线检查,通常是验证域名下某个指定文件的内容,或者验证与域名相关的某条 TXT 记录;

比如访问 [http|https]://http://www.domain.com/…/test.txt,文件内容: 2016082xxxxx39w7b20nelfa;

或在与域名相关的DNS服务器上添加一条 TXT 记录:http://www.domain.com –> TXT –> 20170xxxxxqmkiby43hpvy8

证书特点:

签发速度快,但不能证明网站的真实身份。

适用场景:

个人站点

提示:

DV SSL证书签发速度快,能够保证信息传输安全,价格便宜,对于个人网站是一个不错的选择。

二、OV SSL证书

企业型证书,英文名:Organization Validation SSL Certificate。需要验证网站所属单位真实身份的标准型SSL证书,不仅能起到网站机密信息加密的作用,而且能向用户证明网站的真实身份。

审核内容:

需要对域名所有权及网站企业身份进行严格审查。

签发周期:

3-5个工作日

审核内容:

是要购买者提交组织机构资料和单位授权信等在官方注册的凭证,证书颁发机构在签发 SSL 证书前不仅仅要检验域名所有权,还必须对这些资料的真实合法性进行多方查验,只有通过验证的才能颁发 SSL 证书。

证书特点:

为所有主流的浏览器和移动设备所信任,免费证书安装状态检查,证书标示企业组织机构详情,强化信任度。

适用场景:

企事业单位网站

提示:

OV SSL证书既能保证加密传输,也能证明网站的真实身份,安全性和可信任度更高,价格适中,是企事业单位网站一个不错的选择。

三、EV SSL证书

又名增强型或扩展型SSL证书,英文名为:Extended Validation SSL Certificate。它是由数字证书颁发机构和主流浏览器开发商共同制定的一个新的SSL证书严格身份验证标准,是目前业界安全级别最高的顶级SSL证书。

审核内容:

不仅需要对域名所有权及网站企业身份进行严格审查,还增加了严格的第三方身份审核,确保证书持有方的真实性。所谓的第三方身份审核,指的是需要有权威的第三方进行担保。

签发周期:

5-7个工作日

证书特点:

如果是不受信的 SSL 证书则拒绝显示,浏览器地址栏则会变成红色,以警示用户。

适用场景:

企事业单位网站

II、常见 CA 厂商对比

1、 Comodo是美国优秀的SSL证书提供商,它的产品以严谨出名,其SSL证书特点是价格低,颁发速度快,是中小型企业和个人用户首选的ssl证书品牌。

购买SSL证书网址:https://www.comodoca.com/

现在Comodo已经改名为Sectigo。网址是:https://sectigo.com/

2、Symantec(赛门铁克)是美国高端ssl证书提供商之一,提供全球权威、可信的ssl数字证书,兼容大多数以上的服务器和浏览器,采用强大的加密功能保护网站和内外网,为电子商务和机密通信提供安全保障。(2017年8月2日,DigiCert以9.5亿美元现金和DigiCert业务的30%股权收购赛门铁克安全认证业务。)

购买SSL证书网址:https://www.digicert.com/

3、Geotrust是ssl数字证书颁发机构,也是信任认证和身份认证领域的佼佼者,用户可低成本部署SSL数字证书保证任何大小的机构和企业网站的安全。

购买SSL证书网址:https://www.geotrust.com/

III、其它项

一、不论是 DV、OV 还是 EV 证书,其加密效果都是一样的! 它们的区别在于:

  • DV(Domain Validation),面向个体用户,安全体系相对较弱,验证方式就是向 whois 信息中的邮箱发送邮件,按照邮件内容进行验证即可通过;
  • OV(Organization Validation),面向企业用户,证书在 DV 证书验证的基础上,还需要公司的授权,CA 通过拨打信息库中公司的电话来确认;
  • EV(Extended Validation),打开 Github 的网页,你会看到 URL 地址栏展示了注册公司的信息,这会让用户产生更大的信任,这类证书的申请除了以上两个确认外,还需要公司提供金融机构的开户许可证,要求十分严格。

OV 和 EV 证书相当昂贵,使用方可以为这些颁发出来的证书买保险,一旦 CA 提供的证书出现问题,一张证书的赔偿金可以达到 100w 刀以上。

二、通配符证书和单域名SSL证书定义区别:

  通配符证书:通配符SSL证书又叫泛域名SSL证书,可保护一个域名以及该域名所有下一级域名,不限制下级域名数量。例如:*anxinssl.com、blog.anxinssl.com、store.anxinssl.com等,不限制子域数量,后续添加新的子域无须重新审核和另外付费。

  单域名SSL证书:单域名SSL证书可以保护一个域名,可以是顶级域名(默认带www和不带www)也可以是二级域名,例如:anxinssl.com申请单域名SSL证书, 则www的也可以被保护。如果您为login.anxinssl.com申请的,则只能保护这一个。

通配符证书和单域名SSL证书的具体区别:

  1)保护域名数量的不同:通配符证书可以保护同一个域名下的无限子域,而单域名SSL证书只能保护一个域名。

  2)支持的验证方式不同:通配符证书的验证方式只有DV SSL证书和OV SSL证书2种;而单域名SSL证书有DV SSL证书、OV SSL证书、EV SSL证书3种.

  注解:DV SSL证书:域名验证型;OV SSL证书(组织验证型);EV SSL证书(扩展验证型)

  3)价格不同:单域名SSL证书一般只要百元左右,而便宜发通配符证书也需要500~1000之间。

  4)适用用户不同:通配符证书适合拥有大量的二级域名/子域用户申请安装;单域名SSL证书适合单个域名且后续无计划添加新域名的用户申请。

三、使用IP申请证书需要满足的条件如下:

1、公网IP (内网IP不可以)

2、申请者对这个IP有管理权限

3、申请者必须是企业或者组织机构(个人不可以)

4、只有ov ssl证书可以支持IP申请

5、可以申请单IP证书或多IP证书,不支持IP段的通配

参考文章:

https://www.barretlee.com/blog/2016/04/24/detail-about-ca-and-certs/

https://www.shuzizhengshu.com/html/zixun/mtbb/item-147.html

https://www.sohu.com/a/233532973_100086946

https://www.sslzhengshu.com/brand/index.html

https://www.sslzhengshu.com/article/post-838.html

https://www.zhihu.com/question/45395161

SSL证书基础知识的更多相关文章

  1. [svc]数字证书基础知识

    数字证书基础原理 数字证书采用PKI(Public Key Infrastructure)公开密钥基础架构技术,利用一对互相匹配的密钥进行加密和解密. 每个用户自己设定一把特定的仅为本人所知的私有密钥 ...

  2. SSL基础知识及Nginx/Tomcat配置SSL

    HTTPS 是在 HTTPS 基础之上添加 SSL/TLS 使网络通讯加密,进而确保通信安全.可简记为 HTTPS = HTTP + SSL/TLS 本文档主要讲解常规SSL格式.Nginx 与 To ...

  3. SSL证书部署相关知识总结

    证书生成工具,手动:Keymanager工具https://keymanager.org/ 证书服务商集成:可自由获得TrustAsia.Let’s Encrypt颁发的 免费证书. Keymanag ...

  4. 加密解密(7)*PKI基础知识(完整)

    PKI 基础知识 摘要 本白皮书介绍了加密和公钥基本结构(PKI)的概念和使用 Microsoft Windows 2000 Server 操作系统中的证书服务的基础知识.如果您还不熟悉加密和公钥技术 ...

  5. HTTP基础知识(二)

    接着上一章的内容:HTTP基础知识(一)   二.简单的HTTP协议 1.客户端:请求访问文本或图像等资源的一端称为客户端: 服务器端:提供资源响应的一端   2.以百度为例子 这是请求头: 在起始行 ...

  6. 【RL-TCPnet网络教程】第41章 HTTP超文本传输协议基础知识

    第41章      HTTP超文本传输协议基础知识 本章节为大家讲解HTTP(HyperText Transfer Protocol,超文本传输协议),从本章节开始,正式进入嵌入式Web的设计和学习. ...

  7. 转帖--计算机网络基础知识大总汇 https://www.jianshu.com/p/674fb7ec1e2c?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

    计算机网络基础知识大总汇 龙猫小爷 关注 2016.09.14 23:01* 字数 12761 阅读 30639评论 35喜欢 720 一.什么是TCP/IP 网络和协议 1.     TCP/IP是 ...

  8. 爬虫基础---HTTP协议理解、网页的基础知识、爬虫的基本原理

    一.HTTP协议的理解 URL和URI 在学习HTTP之前我们需要了解一下URL.URI(精确的说明某资源的位置以及如果去访问它) URL:Universal Resource Locator 统一资 ...

  9. HTTPS协议详解(一):HTTPS基础知识

    HTTPS基础知识:HTTPS (Secure Hypertext Transfer Protocol)安全超文本传输协议,是一个安全通信通道,它基于HTTP开发用于在客户计算机和服务器之间交换信息. ...

随机推荐

  1. FPGA VGA+PLL+IP核笔记

    1.实现了预定功能!整个工程,没有使用例程的25MHZ,全部统一使用50MHZ.2.分辨率使用了800*600@72HZ.3.实现了只显示白色部分,黑色部分RGB == 0,要显示背景色.VGA图形基 ...

  2. 基于MXNet的im2rec.py的debug

    1.im2rec.py调试错误:multiprocessing not available, fall back to single threaded encoding imread 经过查找发现是程 ...

  3. A Hybrid Data Association Framework for Robust Online Multi-Object Tracking(2017 IEEE Transactions on Image Processing)

    A Hybrid Data Association Framework for Robust Online Multi-Object Tracking 一种用于鲁棒在线多目标跟踪的混合数据关联框架 摘 ...

  4. Ops:命名规范

    前言 好的命名规范见名知义,可以极大的提高工作效率,对于运维工作的标准化至关重要,这里,分享本DevOps小组内讨论的命名规范,希望有参考意义,如果小伙伴们有好的建议或补充,欢迎留言. 1. ansi ...

  5. 《C# 爬虫 破境之道》:第二境 爬虫应用 — 第四节:小说网站采集

    之前的章节,我们陆续的介绍了使用C#制作爬虫的基础知识,而且现在也应该比较了解如何制作一只简单的Web爬虫了. 本节,我们来做一个完整的爬虫系统,将之前的零散的东西串联起来,可以作为一个爬虫项目运作流 ...

  6. vue项目实战经验汇总

    目录 1.vue框架使用注意事项和经验 1.1 解决Vue动态路由参数变化,页面数据不更新 1.2 vue组件里定时器销毁问题 1.3 vue实现按需加载组件的两种方式 1.4 组件之间,父子组件之间 ...

  7. Part1-解线性方程组

    自己一边听课一边记得,参考网上广为流传的那本<MIT线性代数笔记>,转成Latex上传太麻烦,直接截图上传了,需要电子版的可以私信我.

  8. 2020.2.22 bzoj5336 party

    #include<iostream> #include<cstdio> #include<cstring> #include<cctype> #incl ...

  9. VMware ESXi 6.7安装过程介绍

    虚拟机配置信息如下: 一.安装ESXI 开启虚拟机,正常进入开机引导安装界面 默认选择第一个选项,8s后自动进入如下界面,依次为: 加载引导程序 接受协议 选择用来存放ESXI操作系统的磁盘,不能乱选 ...

  10. 解决.net core3.1使用docker部署在Ubuntu上连接sqlserver报error:35的问题

    最近把一个项目从core2.2迁移至core3.1,在本地win上跑没有问题,但是上线到生产Ubuntu docker环境下连接不上sqlserver报以下错误. A connection was s ...