SSL证书简介

前言

之前写了一篇本站点如何部署SSL证书的文章《Centos7.4下用Docker-Compose部署WordPress（续）-服务器端用Nginx作为反向代理并添加SSL证书（阿里云免费DV证书）》，里面提及了DV证书（Domain Valicated Certificate），其实证书主要分为三种，分别为DV、OV和EV，我们如何根据不同的应用场景来购买证书呢？本文就来简单介绍下。

文中出现的CA，都是Certificate Authority（证书授权中心）的缩写。

DV证书（Domain Valicated Certificate）

DV证书是用来验证网站域名所有权的简易型SSL证书，DV证书仅能起到网站机密信息加密的作用，无法向用户证明网站的真实身份。也就是DV证书仅能从数据传输层保障信息安全，避免中间人攻击，但并不能保障网站安全（如果一个钓鱼网站也绑定了DV证书，仅能说明用户在访问该网站的时候，数据的传输过程是安全的，但不保证网站是安全的）。因此，如果是企业级的站点，尤其是电子商务公司的站点，必须选用更高级别的SSL证书。

优点

• 相比HTTP，绑定了SSL证书走HTTPS协议之后，浏览器中将会出现安全网站提示的图标
• 只要拥有域名管理权即可申请，无需提供额外申请资料
• 现在很多CA提供免费的DV证书，像个人网站这种非企业网站可以不花钱就增加安全性
• CA系统自动签发，无需人工干预，因此可以几分钟甚至几秒钟就能拿到证书

缺点

• 不对网站及网站所有者的真实性、合法性进行验证

OV证书（Organization Validated Certificate）

OV证书是比DV更高级的证书，申请OV证书是需要以公司名义向CA提交书面的申请，然后由CA指派其所属的Vetting Team（审查团队、部门）来验证真实性。一般来说需要提供企业营业执照、企业固定电话、网站业务类型及用途、网站负责人姓名及联系方式等内容，并签署一份申请文件。提供这些信息后，对方会通过第三方数据库验证所提供资料的真实性。通过审核后，CA将签发OV证书。

优点

• 包含了DV的优点
• 确保了网站及其公司的真实有效性
• 浏览器证书中会包含企业相关信息，客户端用户可以通过查看证书信息查看相关内容

缺点

• 收费且不便宜（虽然只是多了一个人工审核的过程，但是单域名OV每年就要人民币3-5k，如果是通配符域名证书，可能是单域名证书的2-N倍的价格，当然，OV是针对企业的，这点钱对企业来说也完全可以接受）
• 整个签发过程需要1-3个工作日

EV证书

安全最高级别的证书，用该种证书的网站比较少，其申请流程也更为复杂严格。一般需要在OV证书验证流程的基础上，额外再签署一份用户协议书（一般会包含承诺使用者遵守CA行业规范，不能用以违法用途等），另外还可能按照不同CA的要求，需要额外签署一些协议或者申请表。当然，除了贵以外，这种证书会在主流浏览器的地址栏附近直接显示公司名称，让用户一目了然是该公司所属的域名。输入URL地址并按回车之后就能看到，看起来就一副很牛的样子，如图：

优点

• 包含OV的优点
• 直接在浏览器的地址栏中显示企业名称

缺点

• 贼贵，要比同类的OV证书还要贵1-2倍的样子

其他证书

有些CA可能还提供一些其他类型的CA，但是极其小众，本文也不做介绍了。

后话

通过以上的介绍，相信在实际场景中，各位已经知道需要选用哪种类型的证书了。那为什么我们需要用SSL加密我们的网站呢？首先，有SSL的站点会增加专业用户的信任和好感。其次，不管是什么类型的网站，通过SSL加密之后，能避免中间人攻击，防止网站内容被劫持并篡改。比较著名的是很久以前，百度还没有SSL加密之前（当然，没有加密的所有网站都有这个问题，百度只是比较有名，所以用它来作为例子：》），用户的搜索结果中，经常被插入乱七八糟的广告内容（不是现在的百度推广，百度推广是百度自己的付费广告服务）。当然，某些企业会选用最贵最高级的EV证书来展示其实力、形象及安全性。

---

参考文档

• https://www.ssl.com/article/dv-ov-and-ev-certificates/
• 中间人攻击（MIM/MITM）