SSL证书选型参考
最近更新时间:2024.04.19 20:34:26
首次发布时间:2023.02.03 14:04:18
证书中心提供多种 SSL 证书规格供您选购。您可以根据要使用的密钥算法类型、证书级别以及您对证书品牌的偏好,选择证书的规格。本文介绍了选择证书规格的方法。
您可以按照以下顺序选择需要的证书规格:
选择国际标准/国密标准
您可以根据证书使用的密钥算法类型,选择国际标准证书或国密标准证书。
- 国际标准证书:支持 RSA 和 ECC 密钥算法。兼容性好,满足通用的 SSL 证书需求。
- 国密标准证书:支持 SM2 密钥算法。适用于对国密算法有要求的证书使用场景,如政企类应用要求证书必须使用国密算法和国密安全协议、兼容国密浏览器等。
密钥算法说明
- RSA:RSA 全称为 Rivest, Shamir, Adleman,是目前在全球应用广泛的非对称加密算法,兼容性好。
- ECC:ECC 全称为 Elliptic Curve Cryptography,是椭圆曲线加密算法。相比 RSA,ECC 是一种更先进和安全的加密算法。ECC 加密速度更快、效率更高、服务器资源消耗也更低。目前主流浏览器都支持 ECC。
- SM2:SM2 是中国国家密码局发布的一种公开密钥加密标准。SM2 基于 ECC,在安全性和性能上都比 RSA 更具优势。
各算法支持的加密强度
- RSA 密钥长度:2048、3072、4096
- ECC 密钥曲线:P256、P384、P521、P224
- SM2 密钥曲线:SMP256
各算法支持的签名哈希算法
- RSA 和 ECC 算法:SHA256、SHA384、SHA512、SHA1
- SM2 算法:SM3
选择证书的级别
根据安全信任等级,SSL 证书包含以下三种级别:DV 域名级、OV 企业级、EV 企业增强级。下表对比了三种级别证书的差异。
对比项\级别 | DV 域名级 | OV 企业级 | EV 企业增强级 |
|---|---|---|---|
安全信任等级 | 初级 | 中级 | 高级 |
适用于 | 个人网站和非商业网站 | 中小企业网站、App、小程序等 | 电子商务网站、金融网站等需要处理敏感信息的网站 |
验证范围 | 仅域名所有权 |
|
|
加密强度 | 三者没有差异。加密强度与密钥算法有关,详见各算法支持的加密强度 | ||
展示效果 | 仅在浏览器地址栏展示安全锁 | 在浏览器地址栏展示安全锁,并在证书基本信息中包含 组织(O) 字段 | 在浏览器地址栏展示安全锁,在连接信息中展示 颁发对象(即 组织(O) 字段),并在证书基本信息中包含 组织(O) 字段 |
签发所需时间 | 数小时 | 3~5 个工作日 | 7~10 个工作日 |
选择证书的品牌
确定证书标准和级别后,您可以根据品牌选择证书。证书中心与全球多家知名的 CA (Certificate Authority)机构合作,为您提供多种可选择的品牌。
具体说明如下表所示。
标准 | 级别 | 可选品牌 |
|---|---|---|
国际标准 | DV 域名级 | DigiCert、GeoTrust、GlobalSign、WoTrus、vTrus |
OV 企业级 | DigiCert、DigiCert Pro、GeoTrust、GlobalSign、vTrus | |
EV 企业增强级 | DigiCert、DigiCert Pro、GeoTrust、GlobalSign | |
国密标准 | DV 域名级 | WoTrus |
OV 企业级 | vTrus |
以下内容对比了不同品牌的差异,具体包括:品牌特点及客户示例、价格对比、证书的兼容性、赔付保障。
品牌特点及客户示例
类型 | 品牌 | 说明 | 使用者示例 |
|---|---|---|---|
国际品牌 | DigiCert | 国际领先的数字证书颁发机构。 | 中国农业银行、中国教育考试网等网站使用了 DigiCert OV 证书。 |
DigiCert Pro | DigiCert 旗下的高端系列品牌。 | 中国银行、中信证券等网站使用了 DigiCert Pro EV 证书。 | |
GeoTrust | DigiCert 旗下的高性价比子品牌。 | 中国平安、豆瓣、故宫博物院等网站使用了 GeoTrust OV 证书。 | |
GlobalSign | 国际知名的数字证书颁发机构。 | 阿里云、华为云、淘宝等网站使用 GlobalSign OV 证书。 | |
国内品牌 | WoTrus | 国内领先的数字证书颁发机构。 | 360商城等网站使用了 WoTrus DV 证书。 |
vTrus | 在国内品牌中,以兼容性较好著称。 | 兴业银行等网站使用了 vTrus 的国密 OV 证书。 |
注意
以上使用者示例来自2023年1月采集的数据,仅供参考。信息如有变化,请以相关网站的实际连接信息为准,恕不另行通知。
价格对比
- 不同品牌的 DV 证书价格由低到高:
DigiCert < WoTrus < GeoTrust < GlobalSign - 不同品牌的 OV 证书价格由低到高:
GeoTrust < GlobalSign < DigiCert < DigiCert Pro - 不同品牌的 EV 证书价格由低到高:
GeoTrust < DigiCert < GlobalSign < DigiCert Pro
注意
具体证书价格,以证书购买页的订单金额为准。
证书的兼容性
- 国际品牌证书与市场主流浏览器(非国密)兼容
市场主流浏览器示例:Chrome(55+)、Chrome(46+)、Firefox(25+)、Safari(5+)、Edge、Opera(34+)、 IE6(有 SHA2 补丁)、IE(8+)、QQ(7+)、 百度(6+)、遨游(4.4+)、360(8.1)、 360(6+)、 UC(5+)、 搜狗(6+)、 猎豹(3+)、2345(7.1+)、枫叶(2+)、世界之窗(3.6+)。 - 国密品牌证书与常见的国密浏览器兼容
常见的国密浏览器示例:密信、零信、360 国密、红莲花。
注意
以上浏览器示例仅供参考。
是否支持 IP SSL 证书
部分品牌支持 IP SSL 证书。如果您选购了对应品牌的 “单域名” 规格证书,则您可以使用该证书保护一个公网 IP。
支持 IP SSL 证书的证书品牌及对应的售卖规格如下表所示。
证书品牌 | 对应的售卖规格 |
|---|---|
DigiCert | DV 单域名 |
GeoTrust | DV 单域名、OV 单域名 |
GlobalSign | OV 单域名 |
WoTrus | DV 单域名、国密 DV 单域名 |
vTrus | DV 单域名、OV 单域名、国密 OV 单域名 |
关于证书中心支持售卖的所有证书规格,请参见 SSL 证书计费说明。
赔付保障
因 CA 机构原因导致证书不可用时,证书用户可向 CA 机构索取赔偿。不同品牌证书支持的最高赔付金额不同。具体说明如下表所示。
类型 | 品牌 | 赔付保障 |
|---|---|---|
DV 域名级 | DigiCert | 无 |
GeoTrust | 最高 50 万美元 | |
GlobalSign | 最高 10 万美元 | |
WoTrus | 无 | |
OV 企业级 | DigiCert | 最高 175 万美元 |
DigiCert Pro | 最高 200 万美元 | |
GeoTrust | 最高 125 万美元 | |
GlobalSign | 最高 125 万美元 | |
EV 企业增强级 | DigiCert | 最高 175 万美元 |
DigiCert Pro | 最高 200 万美元 | |
GeoTrust | 最高 150 万美元 | |
GlobalSign | 最高 150 万美元 |
注意
以上赔付保障信息来自 CA 机构的官方网站。信息如有变化,请以 CA 机构的官方信息为准,恕不另行通知。
信息来源:
- DigiCert 官网:https://www.digicert.com/tls-ssl/compare-certificates
- GeoTrust 官网:https://www.geotrust.com/
- GlobalSign 官网:https://www.globalsign.cn/compare-ssl-certificates.shtml