SSL证书选购指引

阿里云数字证书管理服务提供多种SSL证书类型和品牌,适用于不同规模的网站,包括但不限于电商、小型企业、大型企业或个人等。此外,还提供通配符证书、多域名证书和混合域名证书,以满足不同业务需求,如保护多个子域名或多个不同的域名。您可以根据网站的规模、业务需求和预算,参考本文选择最适合的证书来保障网站的安全。

重要

数字证书管理服务已于202406月下旬将SSL免费证书更名为个人测试证书(免费版),将升级证书(有效期12个月)变更为个人测试证书(pro)。免费证书更名通知,请参见【通知】免费证书更名

选购示例

在选择SSL证书前,您需要考虑保护的域名数量、证书安全等级、证书加密算法与客户端或服务端兼容性、证书加密算法的性能以及合规场景等因素。以下为您列举个人用户和企业用户选购SSL证书的示例,仅供参考;如果以下示例仍不能满足您的业务需求,您可以访问产品详情页或通过产品控制台的专家一对一服务入口,进行技术专家评测咨询。

  • 个人用户:如果您是个人用户且搭建了自己的个人博客或个人测试网站,且网站无数据传输业务,仅用来展示纯信息或内容,您可以参考下表选购SSL证书。

    考虑因素

    业务特征

    推荐

    确定保护的域名数量

    仅保护1个网站1个域名

    选择单域名证书,即一张SSL证书保护一个域名。

    确定验证强度和安全等级

    验证流程简单快速,安全等级一般即可

    选择DV证书,只验证域名真实性,签发最快10分钟。

    确定SSL加密算法

    没有强加密要求,兼容主流浏览器即可

    选择RSA算法,兼容几乎所有浏览器。

    确定SSL证书品牌和预算

    有保障且价格低

    选择RapidSSL品牌个人测试证书。

    • RapidSSLDigiCert旗下的子品牌,性价比高,适用于个人开发者。

    • 个人测试证书一般仅用于个人网站或测试使用,不建议业务成熟的企业类型网站使用。

  • 企业用户:如果您是企业用户,您可以参考行业选型案例进行选购

    行业

    业务特征

    案例

    证书品牌

    证书类型

    加密算法

    域名类型

    金融、银行

    • 希望在网站地址栏展示企业身份信息

    • 对数据传输保密性的要求较高

    中国银行

    DigiCert

    EV

    RSA

    单域名

    教育、政府、互联网

    • 网站后期有多个新增站点的需求

    • 无需在网站地址栏展示政府或公司名称

    阿里云、淘宝、天猫

    GlobalSign

    OV

    RSA

    通配符域名

    新浪、今日头条

    GeoTrust

    RSA

    通配符域名

    上海黄金交易所

    CFCA

    RSA

    通配符域名

    用友软件

    WoSign

    RSA

    通配符域名

选购详情说明

根据是否付费选择SSL证书

阿里云提供个人测试证书和正式证书。个人测试证书一般仅用于个人网站或测试使用,不建议业务成熟的企业类型网站使用。如果您使用的是企业类型网站,建议购买正式证书。正式SSL证书购买流程,请参见购买正式证书;个人测试证书(免费版)购买流程,请参见购买个人测试证书

个人测试证书(免费版)和付费证书区别

个人测试证书一般仅用于个人网站或测试使用,不建议业务成熟的企业类型网站使用。如果您使用的是企业类型网站,建议购买正式证书。

对比项

个人测试证书(免费版)

付费证书

个人测试证书(pro)

正式证书

安全等级

一般

一般

证书运行环境的兼容性

一般

一般

OCSP(Online Certificate Status Protocol,在线证书状态协议)稳定性

较弱。不保证OCSP验证稳定性

较弱。不保证OCSP验证稳定性

高。保障OCSP验证稳定性

SLA保障

说明

关于数字证书管理服务SLA详情,请参见相关协议

保障

CA中心对证书的安全保险赔付

不支持

不支持

支持

证书服务周期

仅支持3个月(即证书的有效期是3个月,过期后必须重新申请和安装证书,运维管理成本高)

SSL签发后有效期为12个月,且提供托管服务(在证书即将过期时,自动提交新证书的申请),支持最长3年的服务周期

SSL证书的最长有效期为397天,且提供托管服务(在证书即将过期时,自动提交新证书的申请),支持最长3年的服务周期

通过续费补齐旧证书的剩余有效期

说明

补齐剩余有效期是指补齐新证书签发时间至旧证书到期之间的时间段。例如,您待续费的旧证书于20240801日过期,如果您在20240720日完成续费购买和签发,那么新证书的有效期为20240720日~20250801日。

不支持

不支持

支持

证书数量限制

每个自然年可免费申请20张,需要更多证书时可付费购买

不限制

不限制

支持保护的网站域名类型

仅支持保护一个单域名。不支持后缀为特殊词的域名申请个人测试证书。例如.edu.gov.org.jp.pay.bank.live.nuclear.ru等。

仅支持保护一个单域名。不支持后缀为特殊词的域名申请个人测试证书。例如.edu.gov.org.jp.pay.bank.live.nuclear.ru等。

支持保护单域名、通配符域名、多域名

支持绑定IP地址

不支持

不支持

Globalsign、GeoTrust、vTrus、CFCA品牌的OV单域名证书支持绑定IP。

支持的证书类型

DV

DV

DV、OV、EV

证书合并申请

说明

证书合并申请是将多个品牌和类型都相同的证书(域名)合并为一张证书签发,简化了多证书的申请和管理流程。具体操作,请参见证书合并申请

不支持

不支持

支持

人工客服支持

不支持

说明

由于免费版个人测试证书是无偿提供给用户用于测试的,因此不支持任何免费的人工技术支持或安装指导。您可以根据您的服务器环境,结合帮助中心对应环境的文档完成证书的安装部署。如果您需要人工技术支持,建议您购买部署服务

支持

支持

付费证书价格对比

下表为您展示各SSL证书各品牌单域名以及通配符域名的零售价格,请您根据实际预算进行选择。

重要

证书零售价格仅供参考,多域名证书价格以及实际证书价格,请以证书服务购买页为准。

证书品牌

证书类型

方案价格(/张/年)

单域名

通配符域名

DigiCert

个人测试证书

个人测试证书(免费版)/3个月。个人测试证书(pro)68元/年/张

说明

对于免费领取的SSL证书,签发后的证书有效期为3个月。您可以支付基础的服务费(68元/张/年),阿里云将为您升级至12个月有效期的证书。个人测试证书(免费版)申请以及升级指南,请参见申请个人测试证书个人测试证书升级

不涉及

DV

不涉及

2,000元/年

OV

  • DigiCert:5,600元/年

  • DigiCert Pro:8,992元/年

40,000元/年

EV

  • DigiCert:8,992元/年

  • DigiCert Pro:16,800元/年

不涉及

GeoTrust

OV

2,778元/年

7,278元/年

EV

6,000元/年

不涉及

GlobalSign

DV

1,980元/年

6,930元/年

OV

3,728元/年

13,048元/年

Rapid

DV

378元/年

1,788元/年

vTrus(国产)

DV

1,200元/年

3,000元/年

OV

4,000元/年

12,000元/年

CFCA(国产)

OV

4,000元/年

15,000元/年

EV

10,000元/年

不涉及

WoSign(国产)

DV

880元/年

2,640元/年

根据网站域名数量选择域名类型

SSL证书是通过绑定域名或IP使用的,因此您可以按照SSL证书所保护的域名数量选购SSL证书。阿里云SSL证书支持申请单域名、多域名、通配符域名(泛域名)和混合域名证书。下表为您介绍不同域名类型的区别以及选购说明。

域名类型

选购说明

支持证书品牌和证书类型

单域名

单域名是指一个证书只能保护一个主域名、一个子域名或一个公网IP(IPv4)。例如,www.aliyundoc.com。如果您有一个网站或者小程序,且只有一个域名或IP,单域名SSL证书是最佳选择。

所有证书品牌和类型均支持。

Globalsign、GeoTrust、vTrus、CFCA品牌的OV单域名证书支持绑定IP。

多域名

多域名是指一个证书同时绑定多个单域名(主域名、子域名或公网IPv4地址)。如果您的网站拥有多个主域名或子域名,可以选择多域名证书。

说明

通过阿里云申请多域名证书时,最多支持绑定5个单域名,您可以在后续追加或合并域名,最多不超过250个。追加域名操作,请参见追加和更换域名

所有证书品牌的OVEV证书。

多域名包含公网IPv4地址时,需要确保SSL证书为GlobalSign、GeoTrust、vTrus、CFCA品牌的OV类型证书。

通配符域名

通配符域名是指对应一个主域名及其次级域名的所有子域名。如果您的网站存在很多同级别的子域名,选择通配符域名证书,您仅需购买一张通配符证书即可,而无需为每个子域名单独购买证书。

通配符域名证书匹配域名的规则如下:

  • 通配符域名证书只能匹配同级别的子域名,不能跨级匹配。 例如,*.aliyundoc.com的域名证书匹配demo.aliyundoc.com、www.aliyundoc.com、example.aliyundoc.com等子域名,但是不匹配www.demo.aliyundoc.com、developer.demo.aliyundoc.com等域名。

  • 如果通配符域名证书的主域名为一级域名,数字证书管理服务默认赠送主域名。例如,您申请的通配符域名证书为*.aliyundoc.com,则默认赠送主域名aliyundoc.com。如果您申请的通配符域名为*.demo.aliyundoc.com,则不会赠送demo.aliyundoc.comaliyundoc.com。

  • 阿里云只支持申请单个通配符域名的证书,不支持申请多通配符域名的证书,即一张证书包含多个通配符域名。如需申请该类型证书,可以通过合并多个相同品牌、类型的证书,生成多通配符证书。具体操作,请参见证书合并申请

所有品牌的DVOV证书。

混合域名

混合域名证书是指同一张证书中包含多个不同类型的域名。例如,当您需要为同一个证书绑定*.aliyundoc.comdemo.example.com时,则将这种证书称为混合域名证书。阿里云支持通过合并多个相同品牌、类型的证书,生成混合域名证书,您可以在购买证书的时候直接合并签发为混合域名证书,或在后续证书申请时合并签发。具体操作,请参见购买正式证书证书合并申请

所有品牌的OV证书。

根据验证强度和安全性选择证书类型

阿里云支持购买DV证书、OV证书和EV证书三种类型的SSL证书。不同类型证书的安全性、支持的证书品牌和适用的网站类型不同,具体如下表所示。

证书类型

适用网站类型

公信等级

认证强度

安全性

审核方式及资料

签发时间

支持的证书品牌

DV(域名型)

适用于个人网站、App服务、展示型网站、企业测试或个人测试网站。

说明

如果您的网站主体是个人(即没有企业营业执照),只能申请个人测试证书或DV型数字证书。

一般

CA机构审核个人网站真实性、不验证企业真实性

一般

通过DNS验证。仅需提交域名即可。

1~2个工作日,最快10分钟签发

  • GlobalSign

  • vTrus(国产)

  • WoSign(国产)

OV(企业型)

适用于政府组织、中小型企业或教育机构等。

说明

对于一般企业、移动端网站或接口调用,建议购买OV及以上类型的数字证书。

CA机构审核组织及企业真实性

邮件或电话。需提交验证域名、公司信息、营业执照等。

3~7个工作日

  • DigiCert

  • GeoTrust

  • GlobalSign

  • vTrus(国产)

  • CFCA(国产)

EV(企业增强型)

适用于大型企业、金融机构、电商等涉及交易支付和隐私数据的高私密网站。

说明

对于金融、支付类企业,建议购买EV型证书。

最高

严格认证

最高

邮件或电话。需提交验证域名、公司信息、营业执照等。

  • GeoTrust、DigiCert品牌还需提交银行开户许可证。

  • CFCA品牌还需提交申请表、律师证、律师函经办人护照。

3~7个工作日

  • DigiCert

  • GeoTrust

  • CFCA(国产)

根据证书加密算法选择证书

阿里云SSL证书支持的加密算法为RSA、ECC和国密SM2,如果您的业务对算法的类型和性能有要求,可以参考以下内容选择证书。

  • 国际标准算法:RSA加密算法是一种广泛应用的非对称加密算法(通过公钥和私钥来进行数据的安全传输和验证),相较于后来出现的ECC算法,RSA在兼容性和普遍适用性上表现出更强的优势;ECC(椭圆曲线加密)算法相比于RSA,是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。RSAECC算法的SSL证书都可用于Web站点、小程序、App等应用场景,但在确保性能、兼容性和满足特性合规要求时,需要进行评估和规划。

    对比项

    RSA

    ECC

    安全性与密钥长度

    长度要求较高。支持的密钥长度为2048位和4096位。

    相对较小的密钥长度即可达到相同安全级别。

    • 256位:相当于RSA 2048位密钥所提供的安全性。

    • 384位:相当于RSA 3072位密钥所提供的安全性。

    性能效率

    加解密速度慢。

    加解密速度快,尤其在有限资源环境下表现更优,例如移动设备、物联网(IoT)设备等。

    内存和CPU占用

    较高。

    较少。

    兼容性

    更广泛兼容现有系统、浏览器和应用程序。

    兼容性较好但相比RSA略逊。

  • 国密标准算法:SM2椭圆曲线公钥密码算法是国家密码管理局发布的ECC椭圆曲线公钥密码算法,在中国商用密码体系中用来替代RSA算法。SM2算法的SSL证书适用于满足国密合规的用户。

证书品牌

证书类型

密钥长度

签名算法

RSA

ECC

SM2

RSA

ECC

SM2

2048

4096

prime256v1

secp384r1

sm2p256v1

SHA256withRSA

SHA384withRSA

SHA256withECDSA

SHA384withECDSA

SM3withSM2

DigiCert

个人测试证书

对

错

错

错

错

对

错

错

错

错

DV

对

对

错

错

错

对

对

错

错

错

OV

对

对

对

对

错

对

对

对

对

错

EV

对

对

对

对

错

对

对

对

对

错

GeoTrust

OV

对

对

对

对

错

对

对

对

对

错

EV

对

对

对

对

错

对

对

对

对

错

GlobalSign

DV

对

对

错

错

错

对

对

错

错

错

OV

对

对

对

对

错

对

对

对

对

错

RapidSSL

DV

对

对

错

错

错

对

对

错

错

错

vTrus(国产)

DV

对

错

错

错

对

对

错

错

错

对

OV

对

错

错

错

对

对

错

错

错

对

CFCA(国产)

OV

对

错

对

错

对

对

错

对

错

对

EV

对

错

错

错

对

对

错

错

错

对

WoSign(国产)

DV

对

对

错

错

对

对

对

错

错

对

说明

SSL证书签名算法默认采用SHA256withRSASHA256withECDSA,暂不支持在数字证书管理服务控制台选择哈希函数为SHA384的签名算法,如需使用该签名算法签发证书,您需要本地创建CSR文件并将CSR文件上传至控制台。具体操作,请参见如何制作CSR文件上传CSR

根据证书品牌优势选择证书

SSL证书是CA机构(Certificate Authority,证书颁发机构)验证网站或域名信息后签发的,CA市场存在多个知名的品牌,目前国际比较知名的品牌有DigiCert、GeoTrust、GlobalSign,中国内地比较知名的有CFCA、WoSign。在选择证书品牌时,您需要考虑品牌支持的证书类型、签名算法类型、密钥长度、域名类型以及价格等因素,并结合自身的业务需求和预算进行综合考量。如果仍不能确认证书品牌,您可以访问产品详情页或通过产品控制台的专家一对一服务入口,进行技术专家评测咨询。

证书品牌

说明

优势

DigiCert

Digicert(原Symantec)是全球领先的数字证书颁发机构(CA),值得信赖的SSL证书品牌,所有证书都采用业界先进的加密技术,为不同的网站和服务器提供安全解决方案。

  • 安全、稳定、兼容性好

  • 支持诺顿安全认证签章

  • 支持RSA/ECC加密算法

RapidSSL

RapidSSLDigiCert旗下的子品牌,前身GeoTrust DV证书,于202201月下旬证书更名为RapidSSL,详情请参见【变更】关于GeoTrust DV证书名称变更的通知

  • 安全、稳定、兼容性好

  • 支持RSA加密算法

GeoTrust

Geotrust品牌是DigiCert(原Symantec)旗下子品牌,全球第二大数字证书颁发机构(CA),也是身份认证和信任认证领域的领导者,采用各种先进的技术使任何大小的机构和公司都能安全、低成本地部署SSL数字证书和实现各种身份认证。

  • 安全、稳定、兼容性好

  • 服务稳定、性价比高

  • 支持诺顿安全认证签章

  • 支持RSA/ECC加密算法

GlobalSign

GlobalSign是较早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的CASSL数字证书提供商。天猫、淘宝等大型电商网站采用了GlobalSign品牌证书。

  • 安全、稳定、兼容性好

  • 支持诺顿安全认证签章

  • 支持RSA/ECC加密算法

CFCA(国产)

中国金融认证中心(CFCA)通过了国际WebTrust认证,遵循全球统一鉴证标准,是国际CA浏览器联盟的组织成员,可满足政府/金融等行业对SSL证书国产化的相关要求。

  • 支持RSA/SM2加密算法

  • 该证书已经通过微软根证书项目认证、Mozilla根证书认证、谷歌(安卓)根证书认证和苹果根证书认证,且根证书已经预埋在微软系统、设备,Mozilla及苹果相关产品中。

  • CFCA支持以下服务:

    • 提供全球信任证书,由中国权威数字证书认证机构自主研发,纯国产证书。

    • 提供7*24小时金融级的安全保障服务,具有完善的风险承保计划。

    • 提供中文版全球信任体系电子认证业务规则(CPS),便于用户理解双方的权利和义务。

说明

CFCA证书目前不支持iOS 10.110.1以前的版本,不支持安卓6.0及以前的版本。

vTrus(国产)

vTrus是一个国产证书品牌,满足企业采购国产品牌SSL证书的需求。

  • 国产品牌中兼容性最优

  • 支持RSA/SM2加密算法

WoSign(国产)

WoSign是一个国产证书品牌,满足企业采购国产品牌SSL证书的需求。

  • 性价比高

  • 支持RSA/SM2加密算法

相关文档