SSL证书简介
前言
之前写了一篇本站点如何部署SSL证书的文章《Centos7.4下用Docker-Compose部署WordPress(续)-服务器端用Nginx作为反向代理并添加SSL证书(阿里云免费DV证书)》,里面提及了DV证书(Domain Valicated Certificate),其实证书主要分为三种,分别为DV、OV和EV,我们如何根据不同的应用场景来购买证书呢?本文就来简单介绍下。
文中出现的CA,都是Certificate Authority(证书授权中心)的缩写。
DV证书(Domain Valicated Certificate)
DV证书是用来验证网站域名所有权的简易型SSL证书,DV证书仅能起到网站机密信息加密的作用,无法向用户证明网站的真实身份。也就是DV证书仅能从数据传输层保障信息安全,避免中间人攻击,但并不能保障网站安全(如果一个钓鱼网站也绑定了DV证书,仅能说明用户在访问该网站的时候,数据的传输过程是安全的,但不保证网站是安全的)。因此,如果是企业级的站点,尤其是电子商务公司的站点,必须选用更高级别的SSL证书。
优点
- 相比
HTTP,绑定了SSL证书走HTTPS协议之后,浏览器中将会出现安全网站提示的图标 - 只要拥有域名管理权即可申请,无需提供额外申请资料
- 现在很多
CA提供免费的DV证书,像个人网站这种非企业网站可以不花钱就增加安全性 CA系统自动签发,无需人工干预,因此可以几分钟甚至几秒钟就能拿到证书
缺点
- 不对网站及网站所有者的真实性、合法性进行验证
OV证书(Organization Validated Certificate)
OV证书是比DV更高级的证书,申请OV证书是需要以公司名义向CA提交书面的申请,然后由CA指派其所属的Vetting Team(审查团队、部门)来验证真实性。一般来说需要提供企业营业执照、企业固定电话、网站业务类型及用途、网站负责人姓名及联系方式等内容,并签署一份申请文件。提供这些信息后,对方会通过第三方数据库验证所提供资料的真实性。通过审核后,CA将签发OV证书。
优点
- 包含了DV的优点
- 确保了网站及其公司的真实有效性
- 浏览器证书中会包含企业相关信息,客户端用户可以通过查看证书信息查看相关内容
缺点
- 收费且不便宜(虽然只是多了一个人工审核的过程,但是单域名OV每年就要人民币3-5k,如果是通配符域名证书,可能是单域名证书的2-N倍的价格,当然,OV是针对企业的,这点钱对企业来说也完全可以接受)
- 整个签发过程需要1-3个工作日
EV证书
安全最高级别的证书,用该种证书的网站比较少,其申请流程也更为复杂严格。一般需要在OV证书验证流程的基础上,额外再签署一份用户协议书(一般会包含承诺使用者遵守CA行业规范,不能用以违法用途等),另外还可能按照不同CA的要求,需要额外签署一些协议或者申请表。当然,除了贵以外,这种证书会在主流浏览器的地址栏附近直接显示公司名称,让用户一目了然是该公司所属的域名。输入URL地址并按回车之后就能看到,看起来就一副很牛的样子,如图:
优点
- 包含OV的优点
- 直接在浏览器的地址栏中显示企业名称
缺点
- 贼贵,要比同类的OV证书还要贵1-2倍的样子
其他证书
有些CA可能还提供一些其他类型的CA,但是极其小众,本文也不做介绍了。
后话
通过以上的介绍,相信在实际场景中,各位已经知道需要选用哪种类型的证书了。那为什么我们需要用SSL加密我们的网站呢?首先,有SSL的站点会增加专业用户的信任和好感。其次,不管是什么类型的网站,通过SSL加密之后,能避免中间人攻击,防止网站内容被劫持并篡改。比较著名的是很久以前,百度还没有SSL加密之前(当然,没有加密的所有网站都有这个问题,百度只是比较有名,所以用它来作为例子:》),用户的搜索结果中,经常被插入乱七八糟的广告内容(不是现在的百度推广,百度推广是百度自己的付费广告服务)。当然,某些企业会选用最贵最高级的EV证书来展示其实力、形象及安全性。
本文在博客园和我的个人博客www.fujiabin.com上同步发布。转载请注明来源。
