如何选择SSL证书?

  • 回答 (3)
  • 关注 (0)
  • 查看 (591)

用户1025425用户1025425提问于
Dust资深服务器虚拟化工程师。回答于
推荐

先来说说SSL都有哪些类型吧!

基础级SSL证书(域名型DV SSL) ,即只对域名的所有者(一般是域名管理员邮箱,比如admin@tencent.com)进行在线检查,发送验证邮件给域名管理员或以该域名结尾的邮箱,至于该域名的管理员是真实注册的单位还是另有其人,不得而知了。

专业级SSL证书(IV SSL),会对域名所有权和证书申请人的真实身份进行验证的专业级SSL证书 适用于个人专业网站。

企业级 SSL 证书(OV SSL) ,是要购买者提交组织机构资料和单位授权信等在官方注册的凭证,认证机构在签发SSL证书前不仅仅要检验域名所有权,还必须对这些资料的真实合法性进行多方查验,只有通过验证的才能颁发SSL证书。

SSL 证书(EV SSL) ,与其他SSL证书一样,都是基于SSL/TLS安全协议,都是用于网站的身份验证和信息在网上的传输加密。它跟普通SSL证书的区别也是明显的,安全浏览器的地址栏变绿,如果是不受信的SSL证书则拒绝显示,如果是钓鱼网站,地址栏则会变成红色,以警示用户。

知道了都那些类型,那如何选择呢?

你最少需要明白以下几点,进行选择

1、SSl的使用场景

金融网站:涉及交易支付、客户隐私信息和账号密码的传输,推荐使用EV SSL证书,就像上面所说的EV SSl具备授信浏览器的地址栏变绿,不受信的SSL证书则拒绝显示,起到警示用户作用。

企业网站:推荐使用OV SSL证书,支持显示中文单位名称和中文域名,有利于品牌推广

个人网站:推荐使用IV SSL证书。和上面说的一样会对域名所有权和证书申请人的真实身份进行验证的专业级SSL证书 适用于个人专业网站。

穷人的网站:推荐DV SSL证书,没钱只能用免费的。功能就懒的说了,记住没钱用它就行。

2、域名数量的使用限制

ssl具有使用数量上的区分,也就是说一些证书只能一个域名使用,有些证书可以多个域名使用,分为

单域型:(一个域名使用)

多域型:(多个域名使用)

通配型:(多个子域名使用)

3、ssl加密的加密类型

强制128/256位加密:(高强度加密)

自适应加密:(加密较低,但具备自由调节强度)

4、加密签名算法

SHA1:(初期加密技术,已被淘汰,不建议使用)

SHA2:(SHA1的迭代产物,比SHA1要高很多)

明白了这些后,就更具自己的情况选择把控吧!如果还不知道怎么选,拿钱找专业人士吧!

注:本回答欢迎转载,抄袭。不需要授权!

手滑点了滑稽回答于

一、确定网站类型和价格范围

高度安全和信任的企业网站:金融证券、银行、第三方支付、网上商城等,重点强调网站安全和品牌可信形象的网站,涉及交易支付、客户隐私信息和账号密码的传输,可使用顶级EV SSL证书,在浏览器直观显示绿色地址栏和中文单位名称,安全可信一目了然。

普通企业网站:电子商务网站、企业网站,涉及注册、登录、会员中心等页面,使用企业级OV SSL证书,支持显示中文单位名称和中文域名,利于品牌推广,更容易赢得客户信赖。

个人品牌网站:自媒体、个人站长等需要显示个人名称的个人品牌网站,可以选择专业级DV SSL证书。

个人网站:需求急迫、无网站身份认证需求的个人网站,可采用基础级DV SSL证书,只用于网站传输加密,10分快速签发。全球独家提供多域名免费SSL证书,可一次性申请2年期,支持100个域名,零成本启用SSL加密,保障您网站数据安全!

二、确定域名数量及类型

SSL证书是绑定域名的,一般情况下一个域名对应一张SSL证书,若有多个域名则可以选择通配型证书和多域型证书。

单域型:您只有单个域名需要使用SSL证书,可选择任意一款SSL证书,购买abc.net,赠送www.abc.net,反之亦然。

多域型:多域型SSL证书支持任何域名。您有多个顶级域名完全不同的域名需要使用SSL证书(如:abc.com、123.com)请选择支持多域名的SSL证书类型,所有SSL证书产品都支持多域名,最多支持100个域名。

通配型:通配型证书只支持*.abc.net通配符子域名。您有多个顶级域名相同的子域名需要使用SSL证书,(如:ac.abc.net、b.abc.net、c.abc.net等通配符域名),请选择支持通配域名的SSL证书,企业级OV SSL证书支持通配域名,不限制子域名数量。

万能型:万能型SSL证书支持多域名和通配域名混合。既有多域型域名也有通配型域名需要使用SSL证书(如:ac.abc.net、b.abc.net、abcd.com、123.com),请选择支持万能型域名的SSL证书,企业级OV SSL证书支持万能型域名。

三、确定加密强度

强制128/256位加密:涉及资金交易、机密信息传输等对安全性能要求高的网站,请选择支持强制128/256位加密的SSL证书,规避部分用户未升级浏览器导致加密位数较低而产生的安全风险。顶级EV SSL证书和企业级OV SSL证书都支持强制128/256位加密,建议此类网站尽量采用安全性能更高的强制加密证书。

自适应加密:网站根据自身需求和风险评估,可选择价格实惠的自适应加密SSL证书。涉及资金交易、机密数据传输等重要数据的网站不建议使用。

四、确定签名算法

SHA1:SHA1算法是目前使用最广泛的签名算法,但SHA1算法已经存在被破解的可能性。微软根据NIST的安全指引,要求受信任的CA机构于2016年1月1日起全面停止签发SHA1证书。

SHA2:更安全但不支持WindowsXP。 SHA2签名算法比SHA1更安全,将逐步替代SHA1成为主流签名算法。但目前仍有WindowsXP系统不支持SHA2签名算法,需打补丁SP3升级后才能支持。

演化史记回答于

对于个人的网站来说,只能选择DV型的证书,因为OV、EV都是要验证营业执照什么的。但是DV证书也是这几种证书中安全性比较低的证书,只提供网站的加密功能,对于网站的身份验证却无法说明这个网站是哪个组织的。(原来有一家CA提供过一种IV证书,是非主流的证书,可以验证个人身份的,但现在已经下架了,也就是说目前个人只能申请DV的)

在腾讯云,DV证书的单域名版是免费的,多域名版和通配符版都是收费的,根据自己的实际情况决定是否付费即可。

所属标签

可能回答问题的人

  • 腾讯云域名团队

    10 粉丝0 提问4 回答
  • Jobs

    0 粉丝0 提问2 回答
  • Hcchy

    腾讯云 · 产品经理 (已认证)

    5 粉丝0 提问6 回答

扫码关注云+社区

领取腾讯云代金券