公司要为一个英国的客户提供由HTTP升级到HTTPS的服务,于是接触查询并学习了相关的SSL证书方面的内容,并整理了一翻。

I、SSL证书说明

SSL 证书按大类一般可分为 DV SSL 、OV SSL 、EV SSL 证书。

一、DV SSL证书

域名型(基础型)SSL证书,英文名为:Domain Validation SSL Certificate。保证了网站的机密信息从用户浏览器到服务器之间的传输是高强度加密传输的,不被非法窃取和篡改。

审核内容:

验证域名的所有权

签发周期:

几分钟-几小时

审核内容:

即证书颁布机构只对域名的所有者进行在线检查,通常是验证域名下某个指定文件的内容,或者验证与域名相关的某条 TXT 记录;

比如访问 [http|https]://http://www.domain.com/…/test.txt,文件内容: 2016082xxxxx39w7b20nelfa;

或在与域名相关的DNS服务器上添加一条 TXT 记录:http://www.domain.com –> TXT –> 20170xxxxxqmkiby43hpvy8

证书特点:

签发速度快,但不能证明网站的真实身份。

适用场景:

个人站点

提示:

DV SSL证书签发速度快,能够保证信息传输安全,价格便宜,对于个人网站是一个不错的选择。

二、OV SSL证书

企业型证书,英文名:Organization Validation SSL Certificate。需要验证网站所属单位真实身份的标准型SSL证书,不仅能起到网站机密信息加密的作用,而且能向用户证明网站的真实身份。

审核内容:

需要对域名所有权及网站企业身份进行严格审查。

签发周期:

3-5个工作日

审核内容:

是要购买者提交组织机构资料和单位授权信等在官方注册的凭证,证书颁发机构在签发 SSL 证书前不仅仅要检验域名所有权,还必须对这些资料的真实合法性进行多方查验,只有通过验证的才能颁发 SSL 证书。

证书特点:

为所有主流的浏览器和移动设备所信任,免费证书安装状态检查,证书标示企业组织机构详情,强化信任度。

适用场景:

企事业单位网站

提示:

OV SSL证书既能保证加密传输,也能证明网站的真实身份,安全性和可信任度更高,价格适中,是企事业单位网站一个不错的选择。

三、EV SSL证书

又名增强型或扩展型SSL证书,英文名为:Extended Validation SSL Certificate。它是由数字证书颁发机构和主流浏览器开发商共同制定的一个新的SSL证书严格身份验证标准,是目前业界安全级别最高的顶级SSL证书。

审核内容:

不仅需要对域名所有权及网站企业身份进行严格审查,还增加了严格的第三方身份审核,确保证书持有方的真实性。所谓的第三方身份审核,指的是需要有权威的第三方进行担保。

签发周期:

5-7个工作日

证书特点:

如果是不受信的 SSL 证书则拒绝显示,浏览器地址栏则会变成红色,以警示用户。

适用场景:

企事业单位网站

II、常见 CA 厂商对比

1、 Comodo是美国优秀的SSL证书提供商,它的产品以严谨出名,其SSL证书特点是价格低,颁发速度快,是中小型企业和个人用户首选的ssl证书品牌。

购买SSL证书网址:https://www.comodoca.com/

现在Comodo已经改名为Sectigo。网址是:https://sectigo.com/

2、Symantec(赛门铁克)是美国高端ssl证书提供商之一,提供全球权威、可信的ssl数字证书,兼容大多数以上的服务器和浏览器,采用强大的加密功能保护网站和内外网,为电子商务和机密通信提供安全保障。(2017年8月2日,DigiCert以9.5亿美元现金和DigiCert业务的30%股权收购赛门铁克安全认证业务。)

购买SSL证书网址:https://www.digicert.com/

3、Geotrust是ssl数字证书颁发机构,也是信任认证和身份认证领域的佼佼者,用户可低成本部署SSL数字证书保证任何大小的机构和企业网站的安全。

购买SSL证书网址:https://www.geotrust.com/

III、其它项

一、不论是 DV、OV 还是 EV 证书,其加密效果都是一样的! 它们的区别在于:

  • DV(Domain Validation),面向个体用户,安全体系相对较弱,验证方式就是向 whois 信息中的邮箱发送邮件,按照邮件内容进行验证即可通过;
  • OV(Organization Validation),面向企业用户,证书在 DV 证书验证的基础上,还需要公司的授权,CA 通过拨打信息库中公司的电话来确认;
  • EV(Extended Validation),打开 Github 的网页,你会看到 URL 地址栏展示了注册公司的信息,这会让用户产生更大的信任,这类证书的申请除了以上两个确认外,还需要公司提供金融机构的开户许可证,要求十分严格。

OV 和 EV 证书相当昂贵,使用方可以为这些颁发出来的证书买保险,一旦 CA 提供的证书出现问题,一张证书的赔偿金可以达到 100w 刀以上。

二、通配符证书和单域名SSL证书定义区别:

  通配符证书:通配符SSL证书又叫泛域名SSL证书,可保护一个域名以及该域名所有下一级域名,不限制下级域名数量。例如:*anxinssl.com、blog.anxinssl.com、store.anxinssl.com等,不限制子域数量,后续添加新的子域无须重新审核和另外付费。

  单域名SSL证书:单域名SSL证书可以保护一个域名,可以是顶级域名(默认带www和不带www)也可以是二级域名,例如:anxinssl.com申请单域名SSL证书, 则www的也可以被保护。如果您为login.anxinssl.com申请的,则只能保护这一个。

通配符证书和单域名SSL证书的具体区别:

  1)保护域名数量的不同:通配符证书可以保护同一个域名下的无限子域,而单域名SSL证书只能保护一个域名。

  2)支持的验证方式不同:通配符证书的验证方式只有DV SSL证书和OV SSL证书2种;而单域名SSL证书有DV SSL证书、OV SSL证书、EV SSL证书3种.

  注解:DV SSL证书:域名验证型;OV SSL证书(组织验证型);EV SSL证书(扩展验证型)

  3)价格不同:单域名SSL证书一般只要百元左右,而便宜发通配符证书也需要500~1000之间。

  4)适用用户不同:通配符证书适合拥有大量的二级域名/子域用户申请安装;单域名SSL证书适合单个域名且后续无计划添加新域名的用户申请。

三、使用IP申请证书需要满足的条件如下:

1、公网IP (内网IP不可以)

2、申请者对这个IP有管理权限

3、申请者必须是企业或者组织机构(个人不可以)

4、只有ov ssl证书可以支持IP申请

5、可以申请单IP证书或多IP证书,不支持IP段的通配

参考文章:

https://www.barretlee.com/blog/2016/04/24/detail-about-ca-and-certs/

https://www.shuzizhengshu.com/html/zixun/mtbb/item-147.html

https://www.sohu.com/a/233532973_100086946

https://www.sslzhengshu.com/brand/index.html

https://www.sslzhengshu.com/article/post-838.html

https://www.zhihu.com/question/45395161

SSL证书基础知识的更多相关文章

  1. [svc]数字证书基础知识

    数字证书基础原理 数字证书采用PKI(Public Key Infrastructure)公开密钥基础架构技术,利用一对互相匹配的密钥进行加密和解密. 每个用户自己设定一把特定的仅为本人所知的私有密钥 ...

  2. SSL基础知识及Nginx/Tomcat配置SSL

    HTTPS 是在 HTTPS 基础之上添加 SSL/TLS 使网络通讯加密,进而确保通信安全.可简记为 HTTPS = HTTP + SSL/TLS 本文档主要讲解常规SSL格式.Nginx 与 To ...

  3. SSL证书部署相关知识总结

    证书生成工具,手动:Keymanager工具https://keymanager.org/ 证书服务商集成:可自由获得TrustAsia.Let’s Encrypt颁发的 免费证书. Keymanag ...

  4. 加密解密(7)*PKI基础知识(完整)

    PKI 基础知识 摘要 本白皮书介绍了加密和公钥基本结构(PKI)的概念和使用 Microsoft Windows 2000 Server 操作系统中的证书服务的基础知识.如果您还不熟悉加密和公钥技术 ...

  5. HTTP基础知识(二)

    接着上一章的内容:HTTP基础知识(一)   二.简单的HTTP协议 1.客户端:请求访问文本或图像等资源的一端称为客户端: 服务器端:提供资源响应的一端   2.以百度为例子 这是请求头: 在起始行 ...

  6. 【RL-TCPnet网络教程】第41章 HTTP超文本传输协议基础知识

    第41章      HTTP超文本传输协议基础知识 本章节为大家讲解HTTP(HyperText Transfer Protocol,超文本传输协议),从本章节开始,正式进入嵌入式Web的设计和学习. ...

  7. 转帖--计算机网络基础知识大总汇 https://www.jianshu.com/p/674fb7ec1e2c?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

    计算机网络基础知识大总汇 龙猫小爷 关注 2016.09.14 23:01* 字数 12761 阅读 30639评论 35喜欢 720 一.什么是TCP/IP 网络和协议 1.     TCP/IP是 ...

  8. 爬虫基础---HTTP协议理解、网页的基础知识、爬虫的基本原理

    一.HTTP协议的理解 URL和URI 在学习HTTP之前我们需要了解一下URL.URI(精确的说明某资源的位置以及如果去访问它) URL:Universal Resource Locator 统一资 ...

  9. HTTPS协议详解(一):HTTPS基础知识

    HTTPS基础知识:HTTPS (Secure Hypertext Transfer Protocol)安全超文本传输协议,是一个安全通信通道,它基于HTTP开发用于在客户计算机和服务器之间交换信息. ...

随机推荐

  1. 吴sir 讲Python之——Pycharm的安装教程 (一)

    欢迎您进入老吴的博客,如有联系请加QQ群:1055524279 首先在Pycharm的官网下载Pycharm Pycharm官网链接:https://www.jetbrains.com/pycharm ...

  2. @ComponentScan注解,basePackages参数通配符

    @ComponentScan(basePackages = "com.ofo.test")当basePackages的直使用通配符,使用**,不能使用*.引用:https://bl ...

  3. [sphinx]生成文档的工具

    安装: pip install sphinx 新建文档项目 sphinx-quickstart 配置一些设置选项, 生成项目文件 生成html make html .\make.bat html #w ...

  4. Codeforces_734_E

    http://codeforces.com/problemset/problem/734/E 每次操作可以把连通的同颜色的点全部换颜色,缩点,找直径,第一遍dfs找起点,第二遍dfs求直径. #inc ...

  5. Shiro过滤器

    Shiro内置过滤器 anon.authBasic.authc.user.logout perms.roles.ssl.port spring.xml <bean id="shiroF ...

  6. Go语言实现:【剑指offer】数组中只出现一次的数字

    该题目来源于牛客网<剑指offer>专题. 一个整型数组里除了两个数字之外,其他的数字都出现了两次.请写程序找出这两个只出现一次的数字. 正常能想到哈希表来处理,但此题考查的是异或的知识, ...

  7. postman之存储测试结果

    前言 在Jmeter的随笔中,我跟大家讲过利用Jmeter工具存储测试结果,那么,postman工具要该如何存储测试结果呢?下面一起来学习吧! 一:添加一个登录请求,填入接口参数点击send 二:点击 ...

  8. VFP9.0的GDI+类的使用

    GDI+你应该不会陌生吧,然而,在VFP里要使用这一技术,可不是一件容易的事,你得学习一大堆API函数.或许,一想到这,你已经望而却步了.不过,从现在起,这一技术不再是豪门旺族的专宠了,我们每一位Fo ...

  9. 面试题|手写JSON解析器

    这周的 Cassidoo 的每周简讯有这么一个面试题:: 写一个函数,这个函数接收一个正确的 JSON 字符串并将其转化为一个对象(或字典,映射等,这取决于你选择的语言).示例输入: fakePars ...

  10. k8s系列---资源指标API及自定义指标API

    不得不说千万不要随意更改版本,我用的1.13的版本,然后学到这一步时,还因yaml文件不同,卡住了很久,然后各种google才找到解决办法  https://www.linuxea.com/2112. ...