重要
数字证书管理服务已于2024年06月下旬将SSL免费证书更名为个人测试证书(免费版),将升级证书(有效期12个月)变更为个人测试证书(pro)。免费证书更名通知,请参见【通知】免费证书更名。
快速选型
影响SSL证书选型的因素较多,如购买预算、域名类型和数量、加密安全等级、加密算法、兼容性等。以下以个人用户和企业用户的选型场景为例,向您说明在选型证书时需要综合考虑的场景及因素,仅供您参考。
个人用户选型示例
如果您自己搭建了一个个人网站或博客,无数据传输需求,仅用于展示网站内容,可以参考下方图示和表格,选择合适的SSL证书。
考虑因素 | 业务特征 | 推荐选型 |
域名类型和数量 | 仅需绑定1个域名(您只有1个网站和一个单域名) | 选择单域名证书,即一张SSL证书对应保护一个域名。 |
验证强度、安全等级 | 证书签发验证流程简单快速,但安全等级一般 | 选择DV证书,CA机构仅验证域名的真实性,最快10分钟即可签发。 |
证书加密算法 | 无特殊加密需求,只需兼容主流浏览器 | 选择RSA算法,几乎兼容所有的浏览器。 |
证书品牌、预算 | 有保障、价格低 | |
说明
假如您有一个自建个人网站,且已绑定一个域名,现在需要选购一张SSL证书以实现HTTPS方式加密传输数据,您可参考以下场景进行选购:
场景1:网站启动期,无需考虑合规封禁的问题,且无额外预算投入,可以选择购买个人测试证书(免费版)。
场景2:网站初期,无需考虑合规封禁的问题,希望使用一年有效期的证书以降低运维成本,可以选择购买有效期为1年的个人测试证书(pro)。
场景3:网站规模扩大进入稳定运营期,需要考虑合规封禁的情况,且有相应的预算投入,可以按需选择购买正式证书。
企业用户选型示例
企业用户,可以参考下方图示,结合行业选型案例,选择合适的SSL证书。
行业 | 业务特征说明 | 案例 | 证书品牌 | 证书类型 | 加密算法 | 域名类型 |
行业 | 业务特征说明 | 案例 | 证书品牌 | 证书类型 | 加密算法 | 域名类型 |
金融、银行 | 网站地址栏需要展示企业身份信息 对数据传输安全性等级要求较高
| 中国银行 | DigiCert | EV | RSA | 单域名 |
教育、政府、互联网 | 网站后期有新增站点的需求 无需在网站地址栏展示政府单位或企业身份信息
| 阿里云、淘宝、天猫 | GlobalSign | OV | RSA | 通配符域名 |
新浪、今日头条 | GeoTrust |
上海黄金交易所 | CFCA |
用友软件 | WoSign |
说明
如果以上示例仍无法匹配您的实际业务需求,您可以继续阅读下方的进阶选型章节。也可以访问产品详情页或通过产品控制台的专家一对一服务入口,进行技术专家评测咨询。
按场景选型
是否付费
SSL证书的价格和证书类型、品牌等因素有关。阿里云除支持购买付费证书外,也提供了免费版的个人测试证书,供个人网站或测试使用。
阿里云提供了个人测试证书和正式证书两种证书,其中个人测试证书分为:个人测试证书(免费版)和个人测试证书(pro),购买流程请参考:购买个人测试证书、购买正式证书。
个人测试证书(免费版)vs 付费证书
重要
个人测试证书仅用于个人网站或测试使用,不建议业务成熟的企业类型网站使用。企业类型网站,建议购买正式证书。
对比场景 | 个人测试证书(免费版) | 付费证书 |
个人测试证书(pro) | 正式证书 |
加密等级 | 一般 | 一般 | 高 |
兼容性 | 一般 | 一般 | 高 |
OCSP稳定性 | 较弱。不保证稳定性。 | 较弱。不保证稳定性。 | 高。保障OCSP验证稳定性。 |
SLA保障 | 无 | 无 | 保障 |
CA中心安全保险赔付 | 不支持 | 不支持 | 支持 |
证书服务周期(有效期) | 90天 | 12个月 | 最长397天 |
托管服务 (证书即将过期时,自动提交新证书的申请) | 不提供,运维成本较高。 | 提供,支持最长3年的服务周期。 | 提供,支持最长3年的服务周期。 |
剩余有效期补齐 说明 剩余有效期补齐,是指补齐新证书和即将过期的旧证书有效期重合的时间段。例如,您待续费的旧证书于2024年08月01日过期,如果您在2024年07月20日完成续费购买和签发,那么新证书的有效期为2024年07月20日~2025年08月01日。 | 不支持 | 不支持 | 支持 |
证书数量限制 | 每个自然年可免费申请20张,需要更多证书时可付费购买 | 无限制 | 无限制 |
支持的域名类型 | 仅支持保护一个单域名。不支持后缀为特殊词的域名申请个人测试证书。例如.edu、.gov、.org、.jp、.pay、.bank、.live、.nuclear和.ru等。 | 仅支持保护一个单域名。不支持后缀为特殊词的域名申请个人测试证书。例如.edu、.gov、.org、.jp、.pay、.bank、.live、.nuclear和.ru等。 | 支持保护单域名、通配符域名、多域名。 |
IP证书 | 不支持 | 不支持 | 仅Globalsign、GeoTrust、vTrus、CFCA品牌的OV单域名证书支持绑定IP。 |
支持的证书类型 | DV | DV | DV、OV、EV |
证书合并申请 说明 证书合并申请是将多个品牌和类型相同的证书(域名)合并为一张证书签发,简化多证书的申请和管理流程。具体操作,请参见证书合并申请。 | 不支持 | 不支持 | 支持 |
人工客服支持 | 不支持 说明 免费版个人测试证书不支持任何免费的人工技术支持或安装指导。您可以参照阿里云官网帮助中心文档完成证书的安装部署。如需人工技术支持,建议您购买部署服务。 | 支持 | 支持 |
价格总览
下表展示了各品牌SSL证书的单域名、通配符域名、多域名的售卖价格,请您根据实际需求和预算选购。
品牌类别 | 证书品牌 | 证书类型 | 域名类型 | 价格(元/张/年) | 备注 |
|
国际 | DigiCert | 个人测试证书(免费版) | 单域名 | 免费 | 有效期90天。 |
个人测试证书(pro) | 单域名 | 68 | 有效期12个月。升级购买请参见个人测试证书升级。 |
DV | 通配符域名 | 2,000 | / |
OV | 单域名 | DigiCert:5,600 DigiCert Pro:8,992
| / |
通配符域名 | 40,000 | / |
EV | 单域名 | DigiCert:8,992 DigiCert Pro:16,800
| / |
GeoTrust | OV | 单域名 | 2,778 | / |
通配符域名 | 7,278 | / |
多域名 | 12,290 | 默认包含5个单域名。 |
EV | 单域名 | 6,000 | / |
多域名 | 19,260 | 默认包含5个单域名。 |
GlobalSign | DV | 单域名 | 1,980 | / |
通配符域名 | 6,930 | / |
OV | 单域名 | 3,728 | / |
通配符域名 | 13,048 | / |
Rapid | DV | 单域名 | 378 | / |
通配符域名 | 1,788 | / |
国产(SM2) | vTrus | DV | 单域名 | 1,200 | / |
通配符域名 | 3,000 | / |
OV | 单域名 | 4,000 | / |
通配符域名 | 12,000 | / |
CFCA | OV | 单域名 | 4,000 | / |
通配符域名 | 15,000 | / |
EV | 单域名 | 10,000 | / |
WoSign | DV | 单域名 | 880 | / |
通配符域名 | 2,640 | / |
网站的域名种类、数量
SSL证书需配合绑定域名或IP才能生效,您的网站绑定的域名类型和数量,直接决定了您需要申请何种类型、多少张SSL证书。
阿里云支持申请单域名、多域名、通配符域名(泛域名)和混合域名证书。下表为您介绍不同域名类型的区别以及与证书相关的说明。
域名类型 | 选型说明 | 默认赠送域名规则 | 注意事项 |
单域名 | 一张证书只能绑定一个域名或一个公网IP(IPv4)。 | 申请主域名证书,默认赠送www子域名。示例:申请example.com,赠送www.example.com。 申请www子域名证书,默认赠送主域名。示例:申请www.example.com,赠送example.com。 支持赠送的品牌:DigiCert、GlobalSign、Rapid、GeoTrust、vTrus、WoSign
说明 申请证书时,域名验证方式如果选择文件验证,则不赠送。 | 仅Globalsign、GeoTrust、vTrus、CFCA品牌的OV单域名证书支持绑定IP。 |
多域名 | 一张证书同时绑定多个单域名(主域名、子域名或公网IPv4地址)。如果您的网站拥有多个主域名或子域名,可以选择多域名证书。 说明 通过阿里云申请多域名证书时,最多支持包含5个单域名,您可以在后续追加或合并域名,最多不超过250个。追加域名操作,请参见追加和更换域名。 | 赠送规则和限制,同单域名。 | 多域名包含公网IPv4地址时,需要确保SSL证书为GlobalSign、GeoTrust、vTrus、CFCA品牌的OV类型证书。 |
通配符域名 | 通配符域名指主域名及其所有次级子域名。如果您的网站主域名下有多个次级子域名,仅需购买一张通配符证书即可。 通配符域名的匹配规则如下: 只能匹配同级别的子域名,不能跨级匹配。 说明 *.aliyundoc.com的一级域名证书可以匹配www.aliyundoc.com、example.aliyundoc.com等二级子域名,但不能匹配www.demo.aliyundoc.com、developer.demo.aliyundoc.com等三级子域名。
购买申请阶段,一张证书只能包含一个通配符域名。 说明 如需将多张通配符域名证书合并为一张证书使用,请参见:证书合并申请。
| 申请通配符域名,默认赠送主域名。示例: 支持赠送的品牌:所有品牌。
说明 申请证书时,域名验证方式如果选择文件验证,则不赠送。 | 仅支持申请DV和OV证书。 |
混合域名 | 指同一张证书中包含多种类型的域名。例如,当您需要为一个证书同时绑定*.aliyundoc.com和demo.example.com两种域名时,该证书就属于混合域名证书。 说明 阿里云支持通过合并多个相同品牌、类型的证书,生成混合域名证书,您可以在购买证书阶段直接选择合并签发,或在后续证书申请时选择合并签发。具体操作,请参见购买正式证书或证书合并申请。 | 混合域名的赠送规则,与其中包含的具体域名类型的赠送规则一致。 | |
验证强度和安全性
SSL证书按照安全性、加密等级和审核方式的不同,可以分为:DV(域名型)、OV(企业型)、EV(企业增强型)三种类型,不同类型的SSL证书在安全性、支持品牌、适用网站类型等方面均有较大差异。
阿里云支持购买DV、OV、EV三种类型的SSL证书。
证书类型 | 适用网站类型 | 公信等级 | 认证强度 | 安全性 | 审核方式及资料 | 平均签发时长 |
DV(域名型) | 个人网站、App服务、企业测试。 说明 没有企业营业执照的个人网站,只能申请个人测试证书或DV型数字证书。 | 一般 | 一般,CA机构仅审核个人网站真实性。 | 一般 | DNS验证。 | 1~15分钟 |
OV(企业型) | 政府组织、中小型企业或教育机构等。 | 高 | 高,CA机构审核组织及企业真实性。 | 高 | 邮件或电话。需提交验证域名、公司信息、营业执照等。 | 5个自然日 |
EV(企业增强型) | 大型企业、金融机构、电商等涉及交易支付和隐私数据的高私密网站。 | 最高 | 最高,严格认证。 | 最高 | 邮件或电话。需提交验证域名、公司信息、营业执照等。 | 5个自然日 |
证书加密算法
SSL证书常用的加密算法有RSA、ECC和SM2等,不同加密算法在安全等级、性能效率、兼容性、应用场景上均有差异。若您的网站有国密合规需求,则您需要重点关注本章节。
阿里云SSL证书支持的加密算法为RSA、ECC和国密SM2,如果您的业务对算法的类型和性能有要求,可以参考以下内容选择证书。
国际标准算法:
说明
RSA和ECC算法的SSL证书都可用于Web站点、小程序、App等应用场景,但在确保性能、兼容性和满足特性合规要求时,需要进行评估和规划。
对比项 | RSA算法 | ECC算法 |
安全性与密钥长度 | 长度要求较高。支持的密钥长度为2048位和4096位。 | 相对较小的密钥长度即可达到相同安全级别。 |
性能效率/加解密速度 | 慢。 | 快。尤其在有限资源环境下表现更优,例如移动设备、物联网(IoT)设备等。 |
内存和CPU占用 | 高。 | 低。 |
兼容性 | 好。 | 较好,稍逊于RSA。 |
国密标准算法:
各品牌和类型的SSL证书的算法支持性:
证书品牌 | 证书类型 | RSA | ECC | SM2 |
签名算法 | 密钥长度 | 签名算法 | 密钥长度 | 签名算法 | 密钥长度 |
SHA256withRSA | SHA384withRSA | 2048 | 4096 | SHA256withECDSA | SHA384withECDSA | prime256v1 | secp384r1 | SM3withSM2 | sm2p256v1 |
DigiCert | 个人测试证书 | 
| 
|
|
|
|
|
|
|
|
|
DV |
|
|
|
|
|
|
|
|
|
|
OV |
|
|
|
|
|
|
|
|
|
|
EV |
|
|
|
|
|
|
|
|
|
|
GeoTrust | OV |
|
|
|
|
|
|
|
|
|
|
EV |
|
|
|
|
|
|
|
|
|
|
GlobalSign | DV |
|
|
|
|
|
|
|
|
|
|
OV |
|
|
|
|
|
|
|
|
|
|
RapidSSL | DV |
|
|
|
|
|
|
|
|
|
|
vTrus(国产) | DV |
|
|
|
|
|
|
|
|
|
|
OV |
|
|
|
|
|
|
|
|
|
|
CFCA(国产) | OV |
|
|
|
|
|
|
|
|
|
|
EV |
|
|
|
|
|
|
|
|
|
|
WoSign(国产) | DV |
|
|
|
|
|
|
|
|
|
|
说明
SSL证书签名算法默认采用SHA256withRSA或SHA256withECDSA,暂不支持在数字证书管理服务控制台选择哈希函数为SHA384的签名算法,如需使用该签名算法签发证书,您需要本地创建CSR文件并将CSR文件上传至控制台。具体操作,请参见如何制作CSR文件和上传CSR。
证书品牌
证书品牌一般不作为首次选型的首要考虑因素,只有当您续费证书或希望在新业务中继续使用相同品牌的证书时,可以考虑优先确定证书品牌减少干扰项,购买同品牌、同规格的证书。
目前国际比较知名的品牌有DigiCert、GlobalSign等,中国内地比较知名的有CFCA、WoSign等。在选择证书品牌时,您需要考虑品牌支持的证书类型、签名算法类型、密钥长度、域名类型以及价格等因素,并结合自身的业务需求和预算进行综合考量。
分类 | 证书品牌 | 说明 | 优势 |
国际 | DigiCert | Digicert(原Symantec)是全球领先的数字证书颁发机构(CA),值得信赖的SSL证书品牌。 | |
RapidSSL | RapidSSL是DigiCert旗下的子品牌,前身GeoTrust DV证书,于2022年01月下旬证书更名为RapidSSL,详情请参见【变更】关于GeoTrust DV证书名称变更的通知。 | |
GeoTrust | Geotrust品牌是DigiCert(原Symantec)旗下子品牌,全球第二大数字证书颁发机构(CA)。 | 服务稳定、性价比高 支持诺顿安全认证签章 支持RSA/ECC加密算法
|
GlobalSign | GlobalSign是较早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的CA和SSL数字证书提供商。天猫、淘宝等大型电商网站采用了GlobalSign品牌证书。 | |
国产 | CFCA | 中国金融认证中心(CFCA)通过了国际WebTrust认证,遵循全球统一鉴证标准,是国际CA浏览器联盟的组织成员,可满足政府/金融等行业对SSL证书国产化的相关要求。 | 说明 CFCA证书目前不支持iOS 10.1及10.1以前的版本,不支持安卓6.0及以前的版本。 |
vTrus | vTrus是一个国产证书品牌,满足企业采购国产品牌SSL证书的需求。 | |
WoSign | WoSign是一个国产证书品牌,满足企业采购国产品牌SSL证书的需求。 | |
各品牌证书的支持性
如果您对证书类型、域名类型、加密算法、证书品牌等均有一定了解,可以参照下方对照表,快速确定您的选购需求。
证书品牌 | 证书类型 | 加密算法 | 域名类型 |
DigiCert | DV(个人测试证书) | RSA | 单域名 |
OV | RSA、ECC | 单域名、多域名、通配符域名 |
EV | RSA | 单域名、多域名 |
GeoTrust | OV | RSA、ECC | 单域名、多域名、通配符域名 |
EV | RSA | 单域名、多域名 |
GlobalSign | DV | RSA | 单域名、通配符域名 |
OV | RSA、ECC | 单域名、多域名、通配符域名 |
Rapid | DV | RSA | 单域名、通配符域名 |
vTrus(国产) | DV | RSA、SM2 | 单域名、通配符域名 |
OV | RSA、SM2 | 单域名、多域名、通配符域名 |
CFCA(国产) | OV | RSA、ECC、SM2 | 单域名、多域名、通配符域名 |
EV | RSA | 单域名、多域名 |
WoSign(国产) | DV | RSA、SM2 | 单域名、通配符域名 |
相关文档
