本文介绍腾讯云 SSL 证书支持的类型、域名类型、品牌介绍、行业选型案例以及加密算法。
SSL 证书类型
腾讯云 SSL 证书支持购买 DV 证书、OV 证书和 EV 证书三种类型的 SSL 证书。不同类型证书的安全性、支持的证书品牌和适用的网站类型不同,具体如下表所示。
证书类型 | 适用网站类型 | 公信等级 | 认证强度 | 安全性 | 支持品牌 |
DV(域名型) | 个人网站 | 一般 | CA 机构只验证网站的真实性,不验证企业信息,域名验证通过就可以颁发证书 | 一般 | DNSPod(腾讯云自主品牌) TrustAsia Wotrus |
OV(企业型) | 政府组织、企业、教育机构等 | 强 | CA 机构会验证网站的真实性,同时也需要验证企业信息真实性 | 高 | SecureSite(同 DigiCert) GeoTrust GlobalSign DNSPod(腾讯云自主品牌) TrustAsia Wotrus |
EV(企业增强型) | 大型企业、金融机构等 | 最高 | 最严格的认证标准,CA 机构会验证网站的真实性,同时也需要验证企业信息真实性 | 最高 | SecureSite(同 DigiCert) GeoTrust GlobalSign DNSPod(腾讯云自主品牌) TrustAsia Wotrus |
不同证书类型在浏览器的展示形式
由于浏览器机制,目前 DV/OV/EV 证书不会有明显的绿色地址栏区分(不会有绿锁标识),只能从证书详情中来区分证书类型。
以下以 Chrome 浏览器作为示例(不同浏览器展示可能不同)。
说明:
查看网站证书信息步骤:单击浏览器地址栏“锁”的标识 > 证书有效。
DV (域名型)证书
只需验证域名所有权,无需人工验证申请单位真实身份,等几分钟即可颁发 SSL 证书。
浏览器仅显示域名信息
OV (企业型)证书
需要验证域名所有权以及企业身份信息,证明申请单位是一个合法存在的真实实体。
浏览器显示域名信息和证书组织信息
EV (企业增强型)证书
除了需要验证域名所有权外,还会进行更严格的企业身份信息验证,需要提交扩展型验证文件,例如:邓白氏等,通常 CA 机构还会进行电话回访。
浏览器显示域名信息和更为详细的证书组织信息
SSL 证书有效期
SSL证书默认有效期为1年,如购买证书后未实际签发不计入有效期。SSL证书成功签发后视为生效,开始计算有效期(无法指定日期生效)。
SSL 证书域名类型
下表为您说明 SSL 证书支持绑定的不同域名类型之间的区别
域名类型 | 说明 |
单域名 | 单域名是指一个证书只能保护一个主域名或一个子域名或一个公网IP |
多域名 | 多域名是指一个证书绑定多个单域名(需要同时绑定,证书签发后无法追加域名) |
通配符(泛域名) | 通配符域名是指对应一个主域名及其次级域名的所有子域名。例如 *.tencent.com;如果您购买了一个 *.tencent.com,默认赠送tencent.com,通配符*.tencent.com还可以匹配下一级子域名(www.tencent.com、example.tencent.com...),但不支持跨级子域名,例如www.example.tencent.com |
腾讯云 SSL 证书品牌介绍
证书品牌 | 品牌介绍 |
SecureSite | SecureSite 是 DigiCert(原 Symantec)旗下的品牌,全球最大的信息安全厂商和服务商,最权威的数字证书颁发机构,为企业、个人用户和服务供应商提供广泛的内容和网络安全解决方案,全球500强中有93%选择了 VeriSign SSL 数字证书。 SecureSite 证书具有安全、稳定、兼容性好等优势。 |
GeoTrust | GeoTrust 是全球第二大数字证书颁发机构(CA),也是身份认证和信任认证领域的领导者,从2001年成立到2006年占领全球市场25%的市场份额,VeriSign 于2006年5月 - 2006年9月以1.25亿美元收购 GeoTrust,目前也同为 SecureSite 旗下 SSL 证书的性价比高的品牌。 |
GlobalSign | GlobalSign 成立于1996年,是一家声誉卓著,备受信赖的 CA 中心和 SSL 数字证书提供商,在全球总计颁发超过2000万张数字证书。GlobalSign 的专业实力获得中国网络市场众多服务器、域名注册商、系统服务供应商的青睐,成为其数字证书服务的合作伙伴。 |
DNSPod | DNSPod 为腾讯云自有品牌,由国内知名 CA 机构提供基础设置支撑,DNSPod 证书针对中国市场特点设计,国内定制 OCSP,访问速度快。 |
TrustAsia(亚洲诚信) | 亚数信息科技(上海)有限公司应用于信息安全领域的品牌,专业为企业提供包含数字证书在内的所有网络安全服务。TrustAsia 品牌 SSL 证书由 Sectigo 根证书签发。 |
WoTrus(沃通) | 沃通电子认证服务有限公司(WoTrus CA Limited)是同时获得国内电子认证服务许可证(由工信部颁发)和通过国际认证的证书颁发机构(CA)。专业为企业提供权威第三方数字身份认证服务,颁发全球信任的各种数字证书产品。 |
CFCA(国产) | 中国金融认证中心(CFCA)通过了国际 WebTrust 认证,是国际 CA 浏览器联盟的成员之一,提供全球信任证书,由中国权威数字证书认证机构自主研发,纯国产证书。 注意:CFCA 证书目前不支持苹果 iOS 10.1及10.1以前的版本,不支持 Android 6.0及以前的版本。 |
不同品牌差异
不同品牌的证书最重要的差异点在于根证书:
SecureSite 是由 SecureSite 根证书签发,顶级根证书都是 DigiCert 旗下的。
GeoTrust 是由 GeoTrust 根证书签发。
GlobalSign 是由 GlobalSign 根证书签发。
DNSPod 是由 Sectigo 根证书签发。
TrustAsia 通配符是由 Sectigo 根证书签发。
Wotrus 是由 Sectigo 根证书签发。
从技术角度,SecureSite(原 Verisign)和 GeoTrust 的区别如下:
SecureSite 的兼容性优于 GeoTrust,SecureSite 可兼容市面上所有的浏览器,对移动端的支持也是极好的。
SecureSite 在 OCSP 响应速度上优于 GeoTrust。
SecureSite 在 CA 安全性方面优于 GeoTrust,SecureSite 是国际知名安全厂商,CA 的安全级别也是国际第一的安全系数。
SecureSite 证书除实现加密传输以外,还有恶意软件扫描和漏洞评估的附加功能。
SecureSite 与 GeoTrust 对证书均有商业保险赔付保障,SecureSite 赔付金额最高为175万美金,GeoTrust 赔付金额最高为150万美金。
支持绑定 IP 的 SSL 证书
证书品牌 | 企业型(OV) | 企业型专业版(OV Pro) | 域名型(DV) | 增强型(EV) | 增强型专业版(EV Pro) |
SecureSite | 单域名/多域名支持 其余域名类型不支持 | 单域名/多域名支持 其余域名类型不支持 | 不支持 | 不支持 | 不支持 |
GeoTrust | 单域名/多域名支持 其余域名类型不支持 | - | - | 不支持 | - |
TrustAsia | 单域名/多域名支持 其余域名类型不支持 | - | 不支持 | 不支持 | - |
GlobalSign | 单域名/多域名支持 其余域名类型不支持 | - | - | 不支持 | - |
Wotrus | 不支持 | - | 不支持 | 不支持 | - |
DNSPod (国密) | 单域名/多域名支持 其余域名类型不支持 | - | - | 单域名/多域名支持 其余域名类型不支持 | - |
DNSPod (国际) | 单域名/多域名支持 其余域名类型不支持 | - | 支持 | 不支持 | - |
CFCA | 单域名/多域名支持
其余域名类型不支持 | - | - | 不支持 | - |
SSL 证书行业案例
下表为您介绍部分行业证书选型的案例,为您选择证书提供参考:
行业分类 | 推荐的证书类型 | 案例类型 | 行业特征 |
金融、银行 | EV 型证书 | 中国银行 | 希望企业身份信息展示在网站地址栏 对数据传输保密性有很高要求 |
教育、政府、互联网 | OV 通配符证书 | 外交部 京东 腾讯新闻 上海黄金交易所 国家电网 用友软件 浪潮 腾讯云 | 网站后期有多个新增站点的需求 无需政府/公司名称展示在网站地址栏 |
个人业务 | DV 型证书 | 个人博客等 | 无数据传输业务 纯信息或内容展示的网站 |
SSL 证书支持的加密算法
证书标准 | 证书类型 | 证书品牌 | 支持加密算法 | 支持签名算法 | |||||||
| | | RSA | | ECC | | SM2 | RSA | | ECDSA | |
| | | 2048 | 4096 | prime256v1 | secp384r1 | sm2withSM4 | SHA256 | SHA384 | SHA256 | SHA384 |
国际标准 | 免费证书(域名型 DV) | TrustAsia | 支持 | 不支持 | 不支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 | 不支持 |
| 企业型(OV) | SecureSite | 支持 | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 | 支持 | 支持 |
| | Geotrust | 支持 | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 | 支持 | 支持 |
| | TrustAsia | 支持 | 支持 | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 支持 | 支持 |
| | GlobalSign | 支持 | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 | 支持 | 支持 |
| | Wotrus | 支持 | 支持 | 支持 | 支持 | 不支持 | 支持 | 不支持 | 不支持 | 不支持 |
| | CFCA | 支持 | 不支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 | 不支持 | 不支持 |
| 企业型专业版(OV Pro) | SecureSite | 支持 | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 | 支持 | 支持 |
| 域名型(DV) | TrustAsia | 支持 | 不支持 | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 支持 | 支持 |
| | Wotrus | 支持 | 支持 | 支持 | 支持 | 不支持 | 支持 | 不支持 | 不支持 | 不支持 |
| 增强型(EV) | SecureSite | 支持 | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 | 支持 | 支持 |
| | Geotrust | 支持 | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 | 支持 | 支持 |
| | TrustAsia | 支持 | 支持 | 支持 | 不支持 | 不支持 | 不支持 | 支持 | 支持 | 支持 |
| | GlobalSign | 支持 | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 | 支持 | 支持 |
| 增强型专业版(EV Pro) | SecureSite | 支持 | 支持 | 支持 | 不支持 | 不支持 | 支持 | 不支持 | 支持 | 支持 |
国密标准 | 企业型(OV) | DNSPod | 不支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 | 支持 | 支持 | 支持 |
| 域名型(DV) | | 不支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 | 支持 | 支持 | 支持 |
| 增强型(EV) | | 不支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 | 支持 | 支持 | 支持 |
