You need to enable JavaScript to run this app.
导航

SSL证书选型参考

最近更新时间2023.07.04 19:06:53

首次发布时间2023.02.03 14:04:18

证书中心提供多种 SSL 证书规格供您选购。您可以根据要使用的密钥算法类型、证书级别以及您对证书品牌的偏好,选择证书的规格。本文介绍了选择证书规格的方法。

您可以按照以下顺序选择需要的证书规格:

  1. 选择国际标准/国密标准
  2. 选择证书的级别
  3. 选择证书的品牌

选择国际标准/国密标准

您可以根据证书使用的密钥算法类型,选择国际标准证书或国密标准证书。

  • 国际标准证书:支持 RSA 和 ECC 密钥算法。兼容性好,满足通用的 SSL 证书需求。
  • 国密标准证书:支持 SM2 密钥算法。适用于对国密算法有要求的证书使用场景,如政企类应用要求证书必须使用国密算法和国密安全协议、兼容国密浏览器等。

密钥算法说明

  • RSA:RSA 全称为 Rivest, Shamir, Adleman,是目前在全球应用广泛的非对称加密算法,兼容性好。
  • ECC:ECC 全称为 Elliptic Curve Cryptography,是椭圆曲线加密算法。相比 RSA,ECC 是一种更先进和安全的加密算法。ECC 加密速度更快、效率更高、服务器资源消耗也更低。目前主流浏览器都支持 ECC。
  • SM2:SM2 是中国国家密码局发布的一种公开密钥加密标准。SM2 基于 ECC,在安全性和性能上都比 RSA 更具优势。

各算法支持的加密强度

  • RSA 密钥长度:2048、3072、4096
  • ECC 密钥曲线:P256、P384、P521、P224
  • SM2 密钥曲线:SMP256

各算法支持的签名哈希算法

  • RSA 和 ECC 算法:SHA256、SHA384、SHA512、SHA1
  • SM2 算法:SM3

选择证书的级别

根据安全信任等级,SSL 证书包含以下三种级别:DV 域名级、OV 企业级、EV 企业增强级。下表对比了三种级别证书的差异。

对比项\级别DV 域名级OV 企业级EV 企业增强级
安全信任等级初级中级高级

适用于

个人网站和非商业网站

中小企业网站、App、小程序等

电子商务网站、金融网站等需要处理敏感信息的网站

验证范围

仅域名所有权

  • 域名所有权

  • 企业/组织真实性

  • 域名所有权

  • 企业/组织真实性

  • 第三方授权验证

加密强度三者没有差异。加密强度与密钥算法有关,详见各算法支持的加密强度

展示效果

仅在浏览器地址栏展示安全锁
以 Chrome 浏览器为例,展示效果如下图
alt

在浏览器地址栏展示安全锁,并在证书基本信息中包含 组织(O) 字段
以 Chrome 浏览器为例,展示效果如下图
alt

在浏览器地址栏展示安全锁,在连接信息中展示 颁发对象(即 组织(O) 字段),并在证书基本信息中包含 组织(O) 字段
以 Chrome 浏览器为例,展示效果如下图
alt

签发所需时间数小时3~5 个工作日7~10 个工作日

选择证书的品牌

确定证书标准和级别后,您可以根据品牌选择证书。证书中心与全球多家知名的 CA (Certificate Authority)机构合作,为您提供多种可选择的品牌。

具体说明如下表所示。

标准级别可选品牌
国际标准DV 域名级DigiCert、GeoTrust、GlobalSign、WoTrus、vTrus
OV 企业级DigiCert、DigiCert Pro、GeoTrust、GlobalSign、vTrus
EV 企业增强级DigiCert、DigiCert Pro、GeoTrust、GlobalSign
国密标准DV 域名级WoTrus
OV 企业级vTrus

以下内容对比了不同品牌的差异,具体包括:品牌特点及客户示例价格对比证书的兼容性赔付保障

品牌特点及客户示例

类型品牌说明使用者示例
国际品牌DigiCert国际领先的数字证书颁发机构。中国农业银行、中国教育考试网等网站使用了 DigiCert OV 证书。
DigiCert ProDigiCert 旗下的高端系列品牌。中国银行、中信证券等网站使用了 DigiCert Pro EV 证书。
GeoTrustDigiCert 旗下的高性价比子品牌。中国平安、豆瓣、故宫博物院等网站使用了 GeoTrust OV 证书。
GlobalSign国际知名的数字证书颁发机构。阿里云、华为云、淘宝等网站使用 GlobalSign OV 证书。
国内品牌
支持国密证书
WoTrus国内领先的数字证书颁发机构。360商城等网站使用了 WoTrus DV 证书。
vTrus在国内品牌中,以兼容性较好著称。兴业银行等网站使用了 vTrus 的国密 OV 证书。

注意

以上使用者示例来自2023年1月采集的数据,仅供参考。信息如有变化,请以相关网站的实际连接信息为准,恕不另行通知。

价格对比

  • 不同品牌的 DV 证书价格由低到高:

    DigiCert < WoTrus < GeoTrust < GlobalSign

  • 不同品牌的 OV 证书价格由低到高:

    GeoTrust < GlobalSign < DigiCert < DigiCert Pro

  • 不同品牌的 EV 证书价格由低到高:

    GeoTrust < DigiCert < GlobalSign < DigiCert Pro

注意

具体证书价格,以证书购买页的订单金额为准。

证书的兼容性

  • 国际品牌证书与市场主流浏览器(非国密)兼容
    市场主流浏览器示例:Chrome(55+)、Chrome(46+)、Firefox(25+)、Safari(5+)、Edge、Opera(34+)、 IE6(有 SHA2 补丁)、IE(8+)、QQ(7+)、 百度(6+)、遨游(4.4+)、360(8.1)、 360(6+)、 UC(5+)、 搜狗(6+)、 猎豹(3+)、2345(7.1+)、枫叶(2+)、世界之窗(3.6+)。

  • 国密品牌证书与常见的国密浏览器兼容
    常见的国密浏览器示例:密信、零信、360 国密、红莲花。

注意

以上浏览器示例仅供参考。

是否支持 IP SSL 证书

部分品牌支持 IP SSL 证书。如果您选购了对应品牌的 “单域名” 规格证书,则您可以使用该证书保护一个公网 IP。

支持 IP SSL 证书的证书品牌及对应的售卖规格如下表所示。

证书品牌对应的售卖规格
DigiCertDV 单域名
GeoTrustDV 单域名、OV 单域名
GlobalSignOV 单域名
WoTrusDV 单域名、国密 DV 单域名
vTrusDV 单域名、OV 单域名、国密 OV 单域名

关于证书中心支持售卖的所有证书规格,请参见 SSL 证书计费说明

赔付保障

因 CA 机构原因导致证书不可用时,证书用户可向 CA 机构索取赔偿。不同品牌证书支持的最高赔付金额不同。具体说明如下表所示。

类型品牌赔付保障
DV 域名级DigiCert
GeoTrust最高 50 万美元
GlobalSign最高 10 万美元
WoTrus
OV 企业级DigiCert最高 175 万美元
DigiCert Pro最高 200 万美元
GeoTrust最高 125 万美元
GlobalSign最高 125 万美元
EV 企业增强级DigiCert最高 175 万美元
DigiCert Pro最高 200 万美元
GeoTrust最高 150 万美元
GlobalSign最高 150 万美元

注意

以上赔付保障信息来自 CA 机构的官方网站。信息如有变化,请以 CA 机构的官方信息为准,恕不另行通知。

信息来源:

  • DigiCert 官网:https://www.digicert.com/tls-ssl/compare-certificates
  • GeoTrust 官网:https://www.geotrust.com/
  • GlobalSign 官网:https://www.globalsign.cn/compare-ssl-certificates.shtml