数字证书管理服务提供了多种类型和品牌的通配符证书、多域名证书和混合域名证书,适用于不同域名类型和规模的网站。您可参考本文选择最适合的SSL证书。
数字证书管理服务已于2024年06月下旬将SSL免费证书更名为个人测试证书(免费版),将升级证书(有效期12个月)变更为个人测试证书(pro)。免费证书更名通知,请参见【通知】免费证书更名。
快速选型
影响SSL证书选型的因素较多,如购买预算、域名类型和数量、加密安全等级、加密算法、兼容性等。以下以个人用户和企业用户的选型场景为例,向您说明在选型证书时需要综合考虑的场景及因素,仅供您参考。
个人用户选型示例
如果您自己搭建了一个个人网站或博客,无数据传输需求,仅用于展示网站内容,可以参考下方图示和表格,选择合适的SSL证书。
考虑因素 | 业务特征 | 推荐选型 |
域名类型和数量 | 仅需绑定1个域名(您只有1个网站和一个单域名) | 选择单域名证书,即一张SSL证书对应保护一个域名。 |
验证强度、安全等级 | 证书签发验证流程简单快速,但安全等级一般 | 选择DV证书,CA机构仅验证域名的真实性,最快10分钟即可签发。 |
证书加密算法 | 无特殊加密需求,只需兼容主流浏览器 | 选择RSA算法,几乎兼容所有的浏览器。 |
证书品牌、预算 | 有保障、价格低 |
|
假如您有一个自建个人网站,且已绑定一个域名,现在需要选购一张SSL证书以实现HTTPS方式加密传输数据,您可参考以下场景进行选购:
场景1:网站启动期,无需考虑合规封禁的问题,且无额外预算投入,可以选择购买个人测试证书(免费版)。
场景2:网站初期,无需考虑合规封禁的问题,希望使用一年有效期的证书以降低运维成本,可以选择购买有效期为1年的个人测试证书(pro)。
场景3:网站规模扩大进入稳定运营期,需要考虑合规封禁的情况,且有相应的预算投入,可以按需选择购买正式证书。
企业用户选型示例
企业用户,可以参考下方图示,结合行业选型案例,选择合适的SSL证书。
行业 | 业务特征说明 | 案例 | 证书品牌 | 证书类型 | 加密算法 | 域名类型 |
金融、银行 |
| 中国银行 | DigiCert | EV | RSA | 单域名 |
教育、政府、互联网 |
| 阿里云、淘宝、天猫 | GlobalSign | OV | RSA | 通配符域名 |
新浪、今日头条 | GeoTrust | |||||
上海黄金交易所 | CFCA | |||||
用友软件 | WoSign |
按场景选型
是否付费
SSL证书的价格和证书类型、品牌等因素有关。阿里云除支持购买付费证书外,也提供了免费版的个人测试证书,供个人网站或测试使用。
个人测试证书(免费版)vs 付费证书
阿里云提供了个人测试证书和正式证书两种证书,其中个人测试证书分为:个人测试证书(免费版)和个人测试证书(pro),购买流程请参考:购买个人测试证书、购买正式证书。
个人测试证书仅用于个人网站或测试使用,不建议业务成熟的企业类型网站使用。企业类型网站,建议购买正式证书。
对比场景 | 个人测试证书(免费版) | 付费证书 | |
个人测试证书(pro) | 正式证书 | ||
加密等级 | 一般 | 一般 | 高 |
兼容性 | 一般 | 一般 | 高 |
OCSP稳定性 | 较弱。不保证稳定性。 | 较弱。不保证稳定性。 | 高。保障OCSP验证稳定性。 |
SLA保障 说明 数字证书管理服务SLA,详见相关协议。 | 无 | 无 | 保障 |
CA中心安全保险赔付 | 不支持 | 不支持 | 支持 |
证书服务周期(有效期) | 90天 | 12个月 | 最长397天 |
托管服务 (证书即将过期时,自动提交新证书的申请) | 不提供,运维成本较高。 | 提供,支持最长3年的服务周期。 | 提供,支持最长3年的服务周期。 |
剩余有效期补齐 说明 剩余有效期补齐,是指补齐新证书和即将过期的旧证书有效期重合的时间段。例如,您待续费的旧证书于2024年08月01日过期,如果您在2024年07月20日完成续费购买和签发,那么新证书的有效期为2024年07月20日~2025年08月01日。 | 不支持 | 不支持 | 支持 |
证书数量限制 | 每个自然年可免费申请20张,需要更多证书时可付费购买 | 无限制 | 无限制 |
支持的域名类型 | 仅支持保护一个单域名。不支持后缀为特殊词的域名申请个人测试证书。例如 | 仅支持保护一个单域名。不支持后缀为特殊词的域名申请个人测试证书。例如 | 支持保护单域名、通配符域名、多域名。 |
IP证书 | 不支持 | 不支持 | 仅GlobalSign、DigiCert、GeoTrust、vTrus、CFCA品牌的OV单域名类型证书支持绑定IP。 |
支持的证书类型 | DV | DV | DV、OV、EV |
证书合并申请 说明 证书合并申请是将多个品牌和类型相同的证书(域名)合并为一张证书签发,简化多证书的申请和管理流程。具体操作,请参见证书合并申请。 | 不支持 | 不支持 | 支持 |
人工客服支持 | 不支持 说明 免费版个人测试证书不支持任何免费的人工技术支持或安装指导。您可以参照阿里云官网帮助中心文档完成证书的安装部署。如需人工技术支持,建议您购买部署服务。 | 支持 | 支持 |
各证书品牌价格总览
下表展示了各品牌SSL证书的单域名、通配符域名、多域名的售卖价格,请根据实际需求和预算选购。
证书零售价格仅供参考,实际证书价格请以证书服务购买页为准。
品牌类别 | 证书品牌 | 证书类型 | 域名类型 | 价格(元/张/年) | 备注 |
国际品牌 | DigiCert | 个人测试证书(免费版) | 单域名 | 免费 | 有效期90天。 |
个人测试证书(pro) | 单域名 | 68 | 有效期12个月。升级购买请参见个人测试证书升级。 | ||
DV | 通配符域名 | 2,000 | / | ||
OV | 单域名 |
| / | ||
通配符域名 | 40,000 | / | |||
EV | 单域名 |
| / | ||
GeoTrust | OV | 单域名 | 2,778 | / | |
通配符域名 | 7,278 | / | |||
多域名 | 12,290 | 默认包含5个单域名。 | |||
EV | 单域名 | 6,000 | / | ||
多域名 | 19,260 | 默认包含5个单域名。 | |||
GlobalSign | DV | 单域名 | 1,980 | / | |
通配符域名 | 6,930 | / | |||
OV | 单域名 | 3,728 | / | ||
通配符域名 | 13,048 | / | |||
Rapid | DV | 单域名 | 378 | / | |
通配符域名 | 1,788 | / | |||
国产品牌(SM2) | vTrus | DV | 单域名 | 1,200 | / |
通配符域名 | 3,000 | / | |||
OV | 单域名 | 4,000 | / | ||
通配符域名 | 12,000 | / | |||
CFCA | OV | 单域名 | 4,000 | / | |
通配符域名 | 15,000 | / | |||
EV | 单域名 | 10,000 | / | ||
WoSign | DV | 单域名 | 880 | / | |
通配符域名 | 2,640 | / |
网站的域名种类、数量
SSL证书需配合绑定域名或IP才能生效,您的网站绑定的域名类型和数量,直接决定了您需要申请何种类型、多少张SSL证书。阿里云支持申请单域名、多域名、通配符域名(泛域名)和混合域名证书。下表为您介绍不同域名类型的区别以及与证书相关的说明。
域名类型 | 选型说明 | 注意事项 |
单域名 | 一张证书只能绑定一个域名。 | 支持申请DV、OV和EV证书。 |
IP | 一张证书只能绑定一个IP。 | 仅GlobalSign、DigiCert、GeoTrust、vTrus、CFCA品牌的OV单域名类型证书支持绑定IP。 |
多域名 | 一张证书同时绑定多个单域名(主域名、子域名或公网IPv4地址)。如果您的网站拥有多个主域名或子域名,可以选择多域名证书。 说明 通过阿里云申请多域名证书时,最多支持包含5个单域名,您可以在后续追加或合并域名,最多不超过250个。追加域名操作,请参见追加和更换域名。 | 多域名包含公网IPv4地址时,需要确保SSL证书为GlobalSign、DigiCert、GeoTrust、vTrus、CFCA品牌的OV单域名类型证书。 |
通配符域名 | 通配符域名指主域名及其所有次级子域名。如果您的网站主域名下有多个次级子域名,仅需购买一张通配符证书即可。 通配符域名的匹配规则如下:
| 仅支持申请DV和OV证书。 |
混合域名 | 指同一张证书中包含多种类型的域名。例如,当您需要为一个证书同时绑定 |
|
证书购买成功后,如果符合购买正式证书,阿里云会默认赠送对应域名。
验证强度和安全性
SSL证书按照安全性、加密等级和审核方式的不同,可以分为:DV(域名型)、OV(企业型)、EV(企业增强型)三种类型,不同类型的SSL证书在安全性、支持品牌、适用网站类型等方面均有较大差异。
证书类型 | 适用网站类型 | 公信等级 | 认证强度 | 安全性 | 审核方式及资料 | 平均签发时长 |
DV(域名型) | 个人网站、App服务、企业测试。 说明 没有企业营业执照的个人网站,只能申请个人测试证书或DV型数字证书。 | 一般 | 一般,CA机构仅审核个人网站真实性。 | 一般 | DNS验证。 | 1~15分钟 |
OV(企业型) | 政府组织、中小型企业或教育机构等。 说明 建议购买OV及以上类型的数字证书。 | 高 | 高,CA机构审核组织及企业真实性。 | 高 | 邮件或电话。需提交验证域名、公司信息、营业执照等。 | 5个自然日 |
EV(企业增强型) | 大型企业、金融机构、电商等涉及交易支付和隐私数据的高私密网站。 说明 建议购买EV型证书。 | 最高 | 最高,严格认证。 | 最高 | 邮件或电话。需提交验证域名、公司信息、营业执照等。
| 5个自然日 |
证书加密算法
SSL证书常用的加密算法有RSA、ECC和SM2等,不同加密算法在安全等级、性能效率、兼容性、应用场景上均有差异。若您的网站有国密合规需求,则您需要重点关注本章节。阿里云SSL证书支持的加密算法为RSA、ECC和国密SM2,如果您的业务对算法的类型和性能有要求,可以参考以下内容选择证书。
国际标准算法:
RSA:一种广泛应用的非对称加密算法,在兼容性和普遍适用性上表现最好。
ECC(椭圆曲线加密算法):晚于RSA出现,和RSA相比更先进、更安全,且加密速度快、效率更高、资源消耗更低,已在主流浏览器中得到推广。
说明RSA和ECC算法的SSL证书都可用于Web站点、小程序、App等应用场景,但在确保性能、兼容性和满足特性合规要求时,需要进行评估和规划。
对比项
RSA算法
ECC算法
安全性与密钥长度
长度要求较高。支持的密钥长度为2048位和4096位。
相对较小的密钥长度即可达到相同安全级别。
256位:相当于RSA 2048位密钥所提供的安全性。
384位:相当于RSA 3072位密钥所提供的安全性。
性能效率/加解密速度
慢。
快。尤其在有限资源环境下表现更优,例如移动设备、物联网(IoT)设备等。
内存和CPU占用
高。
低。
兼容性
好。
较好,稍逊于RSA。
国密标准算法:
SM2:国家密码管理局发布的ECC椭圆曲线公钥密码算法,在中国商用密码体系中用来替代RSA算法。SM2算法的SSL证书适用于满足国密合规的用户。
各品牌和类型的SSL证书的算法支持情况如下:
证书品牌 | 证书类型 | RSA | ECC | SM2 | |||||||
签名算法 | 密钥长度 | 签名算法 | 密钥长度 | 签名算法 | 密钥长度 | ||||||
SHA256withRSA | SHA384withRSA | 2048 | 4096 | SHA256withECDSA | SHA384withECDSA | prime256v1 | secp384r1 | SM3withSM2 | sm2p256v1 | ||
DigiCert | 个人测试证书 | ||||||||||
DV | |||||||||||
OV | |||||||||||
EV | |||||||||||
GeoTrust | OV | ||||||||||
EV | |||||||||||
GlobalSign | DV | ||||||||||
OV | |||||||||||
Rapid | DV | ||||||||||
vTrus (国产品牌) | DV | ||||||||||
OV | |||||||||||
CFCA (国产品牌) | OV | ||||||||||
EV | |||||||||||
WoSign (国产品牌) | DV | ||||||||||
证书品牌
证书品牌一般不作为首次选型的首要考虑因素,只有当您续费证书或希望在新业务中继续使用相同品牌的证书时,可以考虑优先确定证书品牌减少干扰项,购买同品牌、同规格的证书。
目前国际比较知名的品牌有DigiCert、GlobalSign等,中国内地比较知名的有CFCA、WoSign等。在选择证书品牌时,您需要考虑品牌支持的证书类型、签名算法类型、密钥长度、域名类型以及价格等因素,并结合自身的业务需求和预算进行综合考量。
分类 | 证书品牌 | 说明 | 优势 |
国际品牌 | DigiCert | Digicert(原Symantec)是全球领先的数字证书颁发机构(CA),值得信赖的SSL证书品牌。 |
|
Rapid | Rapid是DigiCert旗下的子品牌,前身GeoTrust DV证书,于2022年01月下旬证书更名为Rapid,详情请参见【变更】关于GeoTrust DV证书名称变更的通知。 | 支持RSA加密算法 | |
GeoTrust | Geotrust品牌是DigiCert(原Symantec)旗下子品牌,全球第二大数字证书颁发机构(CA)。 |
| |
GlobalSign | GlobalSign是较早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的CA和SSL数字证书提供商。天猫、淘宝等大型电商网站采用了GlobalSign品牌证书。 |
| |
国产品牌 | CFCA | 中国金融认证中心(CFCA)通过了国际WebTrust认证,遵循全球统一鉴证标准,是国际CA浏览器联盟的组织成员,可满足政府/金融等行业对SSL证书完全国产化的相关要求。 |
说明 CFCA证书目前不支持iOS 10.1及10.1以前的版本,不支持安卓6.0及以前的版本。 |
vTrus | vTrus是一个国产证书品牌,满足企业采购国产品牌SSL证书的需求。 |
| |
WoSign | WoSign是一个国产证书品牌,满足企业采购国产品牌SSL证书的需求。 |
|
各品牌证书支持的算法
如果您对证书类型、域名类型、加密算法、证书品牌等均有一定了解,可以参照下方对照表,快速确定您的选购需求。
证书品牌 | 证书类型 | 加密算法 | 域名类型 |
DigiCert | DV(个人测试证书) | RSA | 单域名 |
OV | RSA、ECC | 单域名、多域名、通配符域名 | |
EV | RSA | 单域名、多域名 | |
GeoTrust | OV | RSA、ECC | 单域名、多域名、通配符域名 |
EV | RSA | 单域名、多域名 | |
GlobalSign | DV | RSA | 单域名、通配符域名 |
OV | RSA、ECC | 单域名、多域名、通配符域名 | |
Rapid | DV | RSA | 单域名、通配符域名 |
vTrus(国产品牌) | DV | RSA、SM2 | 单域名、通配符域名 |
OV | RSA、SM2 | 单域名、多域名、通配符域名 | |
CFCA(国产品牌) | OV | RSA、SM2 | 单域名、多域名、通配符域名 |
EV | RSA | 单域名、多域名 | |
WoSign(国产品牌) | DV | RSA、SM2 | 单域名、通配符域名 |