[[361305]]

本文轉載自微信公眾號「新鈦云服」，作者秦鳴。轉載本文請聯系新鈦云服公眾號。   

隨著互聯網的發展，SSL網站安全證書已成為企業的一個標配。如未配備，你在訪問公司站點時，會被提示該站點是不安全的。

目前SSL證書從域名類型來說分單域名SSL證書、通配符域名SSL證書，從證書類型來說分為域名驗證型DV、組織型驗證OV、擴展型驗證EV......共5種ssl證書類別，從品牌來說又分國內和國外眾多品牌，例如：DigiCert、Godaddy、Geotrust等等。

面對如此多類型和品牌，企業該如何選擇?

這里我們詳細闡述下如何選擇SSL證書。以下會以阿里云平臺上所能購買到的證書來舉例。

SSL證書選擇

1.按域名類型來選擇

單域名SSL證書：

單域名證書適合域名數較少，且一段時間內不會有變化的公司。需要注意的一個細節是如果單域名證書保護的是www.domain.com這個域名的話那么domain.com這個域名也會被保護到。

而如果是非www的域名，如abc.domain.com的話那么domain.com這個域名不會被保護到。

多域名SSL證書：

有些供應商提供了多域名SSL證書，這個其實是和單域名證書是一樣的，只是一個證書里包含了多個單域名。

通配符域名SSL證書：

通配符域名SSL證書是*.domain.com這樣的域名。其中*可以用任意英文字母和數字以及-組成。這里需要注意的是不能有“.”。

例如：aaa.bbb.domain.com這樣的域名仍然會被認為是不安全的。改成aaa-bbb.domain.com就沒問題。

判斷可能的原因是證書對域名的識別是從左往右識別的，這時它判斷對應的二級域名為bbb不是它要保護的domain，所以會認為是不安全的。

2.按證書類型來選擇

域名型證書(DV SSL證書)：

信任等級一般，只需驗證網站的真實性便可頒發證書保護網站而不驗證營業執照。

組織/企業型證書 (OV SSL證書)：

信任等級高，用于驗證此域名由特定公司、組織、或者機構所擁有，同時申請的主體身份符合合法注冊或者受權威機構承認的實體。

增強型證書 (EV SSL證書)：

信任等級最高，證書頒發機構對此的審核比較嚴苛，一般用于銀行證券等金融機構。增強型證書具有高級別可信度及安全性，顯示帶公司名稱的綠色地址欄是它的顯著特點之一。

3.按品牌來選擇

DigiCert(原Symantec)：

DigiCert是業界更受信任且廣受尊重的高保障度證書提供商，為89%的財富500強企業、全球前100大銀行中的97家銀行以及全球87%的加密電子商務交易提供保護。

GeoTrust：

GeoTrust是DigiCert旗下子品牌。服務150多個國家和地區的10萬多名客戶，受世界各地、各類規模企業及組織信賴。

GeoTrust 品牌證書覆蓋各類加密等級，性價比高，滿足企業任何預算需求。

GlobalSign：

GlobalSign是全球權威的數字證書頒發機構(CA)之一。淘寶/天貓正在使用的同款品牌證書，全線產品支持RSA/ECC加密算法。專業版OV單域名證書支持公網IP申請，尤其適用于電子商務、直播、在線教育類企業網站，及對網站有雙算法部署需求的企業用戶。

CFCA(國產)：

中國金融認證中心(China Financial Certification Authority，簡稱CFCA)是經中國人民銀行和國家信息安全管理機構批準成立的國家級權威安全機構。

純國產數字證書品牌，滿足政府/金融等組織、機構國家監管需求。OCSP服務器本地化部署，有效提升HTTPS網站訪問速度。同時，支持安卓6.0和IOS10.1及以上版本，含小程序。

vTrus(國產)：

純國產品牌，滿足企業采購國產品牌的需求。兼容性是目前國產品牌中性能最優。

WoSign(國產)：

WoSign是國產品牌，滿足企業采購國產品牌，國密算法的需求。

性價比高，可實現雙證書部署，網站更安全。

2016年曾經出過偷偷簽發http://github.com的證書，被Mozilla停止信任。因此不建議購買該品牌證書。

以下為1個證書阿里云參考的價格表：