首页 数字证书管理服务 SSL证书使用指南 SSL证书功能特性

SSL证书功能特性

本文介绍SSL证书的类型、品牌、域名类型、加密算法以及行业选型案例

SSL证书类型

阿里云数字证书管理服务支持购买DV证书、OV证书和EV证书三种类型的SSL证书。不同类型证书的安全性、支持的证书品牌和适用的网站类型不同,具体如下表所示。

证书类型

适用网站类型

公信等级

认证强度

安全性

支持的证书品牌

DV(域名型)

个人网站

一般

CA机构审核个人网站真实性、不验证企业真实性

一般

  • DigiCert(原Symantec)

  • GeoTrust

  • GlobalSign

  • vTrus(国产)

  • WoSign(国产)

  • DigiCert

  • GlobalSign

OV(企业型)

政府组织、企业、教育机构等

CA机构审核组织及企业真实性

  • DigiCert(原Symantec)

  • GeoTrust

  • GlobalSign

  • vTrus(国产)

  • CFCA(国产)

  • DigiCert

  • Entrust

  • GlobalSign

EV(企业增强型)

大型企业、金融机构等

最高

严格认证

最高

  • DigiCert(原Symantec)

  • GeoTrust

  • CFCA(国产)

  • DigiCert

  • Entrust

SSL证书品牌

下表为您说明数字证书管理服务支持的SSL证书品牌(即对应的CA供应商)。

证书品牌

说明

DigiCert

DigiCert(原Symantec)是知名的数字证书颁发机构、值得信赖的SSL证书品牌,所有证书都采用业界先进的加密技术,为不同的网站和服务器提供安全解决方案。

DigiCert品牌证书具有安全、稳定、兼容性好等优势。

GeoTrust

GeoTrust是知名的数字证书颁发机构,也是身份认证和信任认证领域的领导者,采用各种先进的技术使任何大小的机构和公司都能安全、低成本地部署SSL数字证书和实现各种身份认证。

该品牌是DigiCert旗下的子品牌。

说明

GeoTrust更名为Rapid,详情请参见【变更】关于GeoTrust DV证书名称变更的通知

GlobalSign

GlobalSign是较早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的CA和SSL数字证书提供商。

GlobalSign品牌证书具有签发速度快、验证速度快等优势。天猫、淘宝等大型电商网站采用了GlobalSign品牌证书。

CFCA(国产)

中国金融认证中心(CFCA)通过了国际WebTrust认证,遵循全球统一鉴证标准,是国际CA浏览器联盟的组织成员。

CFCA支持以下服务:

  • 提供全球信任证书,由中国权威数字证书认证机构自主研发,纯国产证书。

  • 提供7*24小时金融级的安全保障服务,具有完善的风险承保计划。

  • 提供中文版全球信任体系电子认证业务规则(CPS),便于用户理解双方权利和义务。

说明

CFCA证书目前不支持苹果iOS 10.1及10.1以前的版本,不支持安卓6.0及以前的版本。

vTrus(国产)

vTrus是一个国产证书品牌,满足企业采购国产品牌SSL证书的需求。

vTrus品牌证书的兼容性较好。

WoSign(国产)

WoSign是一个国产证书品牌,满足企业采购国产品牌SSL证书的需求。

WoSign品牌证书的性价比较高。

SSl证书支持域名类型

下表为您说明SSL证书支持绑定的不同域名类型之间的区别。

重要

DV类型证书不支持绑定多域名及混合域名 、EV类型证书不支持绑定通配符域名及混合域名。

域名类型

说明

单域名

单域名是指一个证书只能保护一个主域名或一个子域名或一个公网IP。例如,www.aliyundoc.com。

多域名

多域名是指一个证书同时绑定多个单域名。一个证书最多支持绑定250个域名。

通配符域名

通配符域名是指对应一个主域名及其次级域名的所有子域名。例如*.aliyundoc.com,默认赠送aliyundoc.com,*.aliyundoc.com可以匹配www.aliyundoc.com(下一级子域名)、example.aliyundoc.com(下一级子域名)等,不支持匹配www.example.aliyundoc.com。

多通配符证书是指绑定多个通配符域名的证书。数字证书管理服务只支持申请单个通配符域名的证书,不支持申请多通配符域名的证书。您可以通过合并多个相同品牌、类型的证书,生成多通配符证书。具体操作,请参见证书合并申请

混合域名

混合域名证书是指绑定的域名既包括单域名,也包括通配符域名的证书。例如,绑定的域名为*.aliyundoc.com、demo.example.com,即称该证书为混合域名证书。

数字证书管理服务不支持申请混合域名证书,您可以通过合并多个相同品牌、类型的证书,生成混合域名证书。具体操作,请参见证书合并申请

SSL证书支持的加密算法

以下是SSL证书支持的加密算法的说明。

  • RSA:目前应用广泛的非对称加密算法,兼容性好。

  • ECC:椭圆曲线公钥密码算法。相比于RSA,ECC是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。

  • SM2:国家密码管理局发布的ECC椭圆曲线公钥密码算法,在中国商用密码体系中用来替代RSA算法。

下表为您说明SSL证书不同品牌支持的加密算法类型。

  • 对:表示支持。

  • 错:表示不支持。

证书品牌

证书类型

RSA

ECC

SM2

DigiCert

DV

对错错

OV

对对错

EV

对错错

GeoTrust

DV

对错错

OV

对对错

EV

对错错

GlobalSign

DV

对错错

OV

对对错

CFCA(国产)

OV

对对对

EV

对错错

vTrus(国产)

DV

对错错

OV

对错对

WoSign(国产)

DV

对错对

行业选型案例

下表为您介绍部分行业证书选型的案例,为您选择证书类型时提供参考。

行业

业务特征

常规应用的证书类型

案例

金融、银行

  • 希望在网站地址栏展示企业身份信息

  • 对数据传输保密性的要求较高

EV

中国银行

教育、政府、互联网

  • 网站后期有多个新增站点的需求

  • 无需在网站地址栏展示政府或公司名称

OV通配符证书

  • 淘宝、天猫

  • 新浪、今日头条

  • 上海黄金交易所

  • 国家电网

  • 用友软件

  • 阿里云

个人业务

  • 无数据传输业务

  • 网站用来展示纯信息或内容

DV

个人博客等

阿里云首页 数字证书管理服务(原SSL证书) 相关技术圈