SSL证书的 6 大属性

举报
沃通WoTrus 发表于 2022/04/28 17:29:46 2022/04/28
【摘要】 SSL证书琳琅满目,不同的SSL证书型号、品牌应有尽有。可信的SSL证书有它们共同遵守的行业标准,但不同型号的SSL证书也各有特点。换句话说,不同的应用场景其实有着对SSL证书选择的偏好。今天来谈一谈SSL证书的 6 项属性(排名不分先后)。同时,如果您有SSL证书的需求,沃通CA(wosign.com)欢迎您随时与我们交流。第一属性:SSL证书验证方式类型,它将SSL证书分为 DV、OV、...

SSL证书琳琅满目,不同的SSL证书型号、品牌应有尽有。可信的SSL证书有它们共同遵守的行业标准,但不同型号的SSL证书也各有特点。换句话说,不同的应用场景其实有着对SSL证书选择的偏好。

今天来谈一谈SSL证书的 6 项属性(排名不分先后)。同时,如果您有SSL证书的需求,沃通CA(wosign.com)欢迎您随时与我们交流。

第一属性:SSL证书验证方式类型,它将SSL证书分为 DV、OV、EV

这种分类方式基于 CA 对SSL证书申请者身份的验证深度。DV 只验证域名管理权,即你只需按照 CA 要求的方式证明你对域名有管理权即可。OV 和 EV 需要具有组织单位的身份才可以申请,例如学校、医院、机关单位、企业等。在签发证书之前,CA会验证这些单位的真实性以及是否是单位授权给单位内的某成员在申请SSL证书,确保SSL证书的使用者身份真实有效。

因为验证的深度不一样,因此这三种证书包含的信息也是有很大区别:

faq_2022042711_clip_image001.png

DV SSL证书中只具有域名

faq_2022042711_clip_image002.png

OV SSL证书中具有域名和单位名称

faq_2022042711_clip_image003.png

EV SSL证书中具有域名和单位名称及更多信息

第二属性:SSL证书保护的域名是否支持扩增

目前常规的分类主要有单域名证书、多域名证书、通配符证书。但现在很多的CA开始变得更加灵活,例如沃通CA官网的 DigiCert 的 Flex 和 GlobalSign 的 SANs,均可在一个证书里面增加多个域名/通配符域名,非常灵活。

如果查看一个SSL证书是否保护了多个域名?如下所示,在证书详情的“可选名称”查看。如果您也有类似的需求,可在沃通CA数字证书商店申请这种类型的证书。

faq_2022042711_clip_image004.png

保护很多域名的SSL证书

第三属性:SSL证书的加密算法,常见的有 RSA、ECC、SM2

SSL证书在提交申请的时候,就会选择加密算法,目前使用较多的依然是 RSA,或者 RSA 和 ECC 配合使用。在某些特定情况下会选择 SM2(即国密算法)。

RSA算法:应用较早,普及度高,比 ECC 算法的适用范围更广,兼容性好,一般采用 2048 位的加密长度,但是对服务端性能消耗相对略高。

ECC算法:中文名称为椭圆加密算法,新一代算法趋势主流,一般采用 256 位加密长度,加密速度快,效率更高,对服务器资源消耗低,而且重要的是更安全,抗攻击性更强。但在一些比较老旧的系统环境中存在不支持的情况,因此它的兼容性相比 RSA 要差一些。

另外就是国密 SM2 加密算法,但由于SM2国密算法的SSL证书目前仅仅少数几款浏览器支持,且需要相应的服务器环境支持,目前的普及程度还远远不及 RSA 和 ECC。

加密算法的选择是基于性能和兼容性的平衡的选择。您可以联系沃通CA来给您出具多种算法搭配的SSL证书方案。

第四属性:国产和国外品牌的 SSL证书

在沃通CA,不仅仅有各种国外品牌的SSL证书,还有各种国产品牌的SSL证书。总体上讲,国外品牌的SSL证书,因为起步发展更早,其根证书已经预埋在各个比较老旧的系统平台浏览器里面,能够取得更好的兼容性。而国产SSL证书起步较晚,只能兼容一些相对比较新一些的浏览器、系统、平台。因为一些老版本的浏览器等系统在当时发布的时候,我们一些国产品牌的SSL证书还没开始进入到这些系统的信任列表,因此无法兼容这一类的系统。但随着时间的推移,那些老的浏览器版本、系统终究会淡出人们的生活工作,国产SSL证书的兼容性也会越来越好。

这里需要格外提一下,国产SSL证书也是使用 RSA、ECC 或者 SM2 等加密算法。国产SSL证书≠国密SSL证书。

第五属性:是否同时支持域名和 IP 地址申请

通常情况下,SSL证书一般是颁发给域名使用,但目前也有一些特别的场景需要对 IP 地址进行 https 加密,于是就有了为 IP 地址直接申请 SSL证书的需求。

faq_2022042711_clip_image005.gif

IP 地址加上SSL证书之后也能实现 https 加密访问

如果您是需要给 IP 地址加密,请联系沃通CA为您提供支持 IP 地址直接申请的SSL证书。必要的时候,沃通CA可以给您提供能够同时支持添加子域名、泛域名和IP地址的SSL证书。

第六属性:是否具有中国本地化的 OCSP

OCSP(Online Certificate Status Protocol)即在线证书状态协议,是一个互联网协议,用于获取符合 X.509 标准的数字证书的状态,是维护服务器和其它网络资源安全的两种普通方法之一。 一般浏览器在打开一个网站的时候,会去查看 OCSP 证书的有效性,如果查看速度慢会影响到网站的打开速度,因此选择具有中国本地化 OCSP 的SSL证书在速度上可能为您加分。

faq_2022042711_clip_image006.png

OCSP 示意

沃通CA所提供的 DigiCert 等系列SSL证书均做了 OCSP 中国本地化加速设置(使用了 CDN 加速),我们可以查看有无中国本地化加速的 OCSP 响应对比

faq_2022042711_clip_image007.png

可使用各种测速工具进行测试

其实有 OCSP 本地化服务的SSL证书,不仅仅是速度上更快,更重要的是具有本地化服务的SSL证书,通常也做了相关的 ICP 备案,这使得在中国的市场环境下更加合规。

除此之外,不同的SSL证书还具有不同的风险保险金额,有一些型号的SSL证书还具有网站扫描、智能签章等扩展功能。

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。