阿里云数字证书管理服务为不同规模的网站提供多样化的SSL证书类型和品牌,包括针对电商、小型企业、大型企业或个人等。此外,还提供通配符证书、多域名证书和混合域名证书,以满足不同业务需求,如保护多个子域名或多个不同的域名。您可以根据网站的规模、业务需求和预算,参考本文选择最适合的证书来保障网站的安全。
SSL证书类型
阿里云数字证书管理服务支持购买DV证书、OV证书和EV证书三种类型的SSL证书。不同类型证书的安全性、支持的证书品牌和适用的网站类型不同,具体如下表所示。
证书类型 | 适用网站类型 | 公信等级 | 认证强度 | 安全性 | 支持的证书品牌 |
DV(域名型) | 个人网站 | 一般 | CA机构审核个人网站真实性、不验证企业真实性 | 一般 |
|
OV(企业型) | 政府组织、企业、教育机构等 | 高 | CA机构审核组织及企业真实性 | 高 |
|
EV(企业增强型) | 大型企业、金融机构等 | 最高 | 严格认证 | 最高 |
|
如果您的网站主体是个人(即没有企业营业执照),只能申请免费型或DV型数字证书。
对于一般企业、移动端网站或接口调用,建议购买OV及以上类型的数字证书。
对于金融、支付类企业,建议购买EV型证书。
SSL证书品牌
下表为您说明数字证书管理服务支持的SSL证书品牌(即对应的CA供应商)。
移动端网站或接口调用相关的应用,建议您选择DigiCert品牌。
证书品牌 | 说明 |
DigiCert | DigiCert(原Symantec)是知名的数字证书颁发机构、值得信赖的SSL证书品牌,所有证书都采用业界先进的加密技术,为不同的网站和服务器提供安全解决方案。 DigiCert品牌证书具有安全、稳定、兼容性好等优势。 |
GeoTrust | GeoTrust是知名的数字证书颁发机构,也是身份认证和信任认证领域的领导者,采用各种先进的技术使任何大小的机构和公司都能安全、低成本地部署SSL数字证书和实现各种身份认证。 该品牌是DigiCert旗下的子品牌。 说明 GeoTrust DV型证书更名为Rapid,详情请参见【变更】关于GeoTrust DV证书名称变更的通知。 |
GlobalSign | GlobalSign是较早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的CA和SSL数字证书提供商。 GlobalSign品牌证书具有签发速度快、验证速度快等优势。天猫、淘宝等大型电商网站采用了GlobalSign品牌证书。 |
CFCA(国产) | 中国金融认证中心(CFCA)通过了国际WebTrust认证,遵循全球统一鉴证标准,是国际CA浏览器联盟的组织成员。 CFCA支持以下服务:
说明 CFCA证书目前不支持苹果iOS 10.1及10.1以前的版本,不支持安卓6.0及以前的版本。 |
vTrus(国产) | vTrus是一个国产证书品牌,满足企业采购国产品牌SSL证书的需求。 vTrus品牌证书的兼容性较好。 |
WoSign(国产) | WoSign是一个国产证书品牌,满足企业采购国产品牌SSL证书的需求。 WoSign品牌证书的性价比较高。 |
SSL证书支持域名类型
下表为您说明SSL证书支持绑定的不同域名类型之间的区别。
DV类型证书不支持绑定多域名及混合域名 、EV类型证书不支持绑定通配符域名及混合域名。
域名类型 | 说明 |
单域名 | 单域名是指一个证书只能保护一个主域名或一个子域名或一个公网IP。例如,www.aliyundoc.com。 |
多域名 | 多域名是指一个证书同时绑定多个单域名。阿里云售卖的多域名证书规格支持添加5个单域名。 |
通配符域名 | 通配符域名是指对应一个主域名及其次级域名的所有子域名。例如*.aliyundoc.com,默认赠送aliyundoc.com,*.aliyundoc.com可以匹配www.aliyundoc.com(下一级子域名)、example.aliyundoc.com(下一级子域名)等,不支持匹配www.example.aliyundoc.com。 多通配符证书是指绑定多个通配符域名的证书。数字证书管理服务只支持申请单个通配符域名的证书,不支持申请多通配符域名的证书。您可以通过合并多个相同品牌、类型的证书,生成多通配符证书。具体操作,请参见证书合并申请。 |
混合域名 | 混合域名证书是指包含单域名、通配符域名和公网IP的证书。例如,绑定的域名为*.aliyundoc.com、demo.example.com,即称该证书为混合域名证书。 数字证书管理服务不支持申请混合域名证书,您可以通过合并多个相同品牌、类型的证书,生成混合域名证书。具体操作,请参见证书合并申请。 |
SSL证书支持的加密算法
以下是SSL证书支持的加密算法的说明。
RSA:目前应用广泛的非对称加密算法,兼容性好。
ECC:椭圆曲线公钥密码算法。相比于RSA,ECC是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。
SM2:国家密码管理局发布的ECC椭圆曲线公钥密码算法,在中国商用密码体系中用来替代RSA算法。
下表为您说明SSL证书不同品牌支持的加密算法类型。
:表示支持。
:表示不支持。
证书品牌 | 证书类型 | RSA | ECC | SM2 |
DigiCert | OV | |||
EV | ||||
GeoTrust | DV | |||
OV | ||||
EV | ||||
GlobalSign | DV | |||
OV | ||||
CFCA(国产) | OV | |||
EV | ||||
vTrus(国产) | DV | |||
OV | ||||
WoSign(国产) | DV |
行业选型案例
下表为您介绍部分行业证书选型的案例,仅供参考。
行业 | 业务特征 | 案例 | 证书品牌 | 证书类型 | 算法 | 域名类型 |
金融、银行 |
| 中国银行 | DigiCert | EV | RSA | 单域名 |
教育、政府、互联网 |
| 阿里云、淘宝、天猫 | GlobalSign | OV | RSA | 通配符域名 |
新浪、今日头条 | GeoTrust | RSA | 通配符域名 | |||
上海黄金交易所 | CFCA | RSA | 通配符域名 | |||
用友软件 | WoSign | RSA | 通配符域名 | |||
个人业务 |
| 个人博客、个人网站测试 | 申请免费型或DV型数字证书品牌 | RSA | 免费单域名或付费通配符域名 |
相关文档
- 本页导读 (1)