(原标题:既然HTTPS必须有 你该安装何种SSL证书?(下))
在上篇文章中,我们聊了聊DV、OV、EV这三大基础类型SSL证书的主要功能和适用对象,忘记的童鞋可以点击,复习一下。在本篇文章中,我们将从SSL证书的拓展类型、品牌等方面入手,让大家更全面的了解SSL证书,进而选到适合自己的证书。
OV/EV多域名证书
普通的DV、OV、EV证书均属单域名证书。所谓单域名证书,就是只能保护一个域名网址。如果你有多个域名,例如www.abc.com、www.123.com......等等,那就要申请多张证书,这样就出现两个问题:一是每张证书的申请、管理都需逐一进行,费时费力;二是成本大大增加。这时,你就需要一张OV/EV多域名证书。
申请多域名证书可以实现用一张SSL证书保护多个网址域名的效果,等你有新的域名需要保护时,添加域名即可。虽然每增加一个域名都要支付一定费用,但价格比重新申请一张证书划算很多,还省去了重新审核的时间。至于是选择OV多域名还是EV多域名,就按我们上次说的,注重性价比的网站可选择OV,需要绿色地址栏提高公信力和品牌形象的请选择EV。
这是一张由中国金融认证中心(CFCA)签发的多域名OV证书,我们可以在证书信息的“主题备用名称”中查看到这张证书在同时保护三个网址域名。
OV通配符证书
一些大型站点拥有大量二级域名,即一级域名的下一级域名。如一级域名www.abc.com包含二级域名a.abc.com、b.abc.com,还会不断增加c.abc.com、d.abc.com等等。当二级域名的数量比较庞大时,即使是申请多域名证书,费用也会很高。在这种情况下,你就需要OV通配符证书。
通配符一般用*号表示,它可以代表任意字符,一张OV通配符证书可保护www.abc.com和它下属的a.abc.com、b.abc.com等所有二级域名,也就是*.abc.com,无需再因二级域名的增加额外支付费用。但通配符证书有一个缺陷,即出于安全考虑,国际上不允许签发EV通配符证书。不过我们通常也不需要所有二级域名都显示绿色地址栏,所以只需用一张OV通配符保护一级域名,然后为二级域名添加一张EV单域名/多域名证书确保指定域名地址栏变绿即可。
这是一张由CFCA签发的OV通配符证书,我们可以在证书信息中查看到这张证书的保护范围是“*.bdtrip.com.cn”,也就是www.bdtrip.com.cn和其所有二级域名。
证书品牌选择
现在市面上有多个品牌的SSL证书,每个品牌都会说自己的证书是性能最好、最划算的。但要记得,SSL证书是由第三方数字证书管理机构(简称CA)签发的,我们与其说是在选择品牌,不如说是在选择CA。签发SSL证书的门槛很高,而如果要让证书具备完整功能,CA需要走完以下四步:
第一,根据国际标准,建立根证书体系;
第二,由专门的审计公司审计根证书体系是否达标,达标后获得WebTrust认证;
第三,CA至少要将根证书植入到微软的根证书库后,才能签发证书;
第四,完成微软、Mozilla、谷歌、苹果这四大根证书库的入根工作后,证书才能支持所有操作系统浏览器,成为全平台信任的证书。
因为完成以上工作的难度较大、周期较长,所以在SSL领域起步较晚的国内,目前只有四家CA可以签发SSL证书,而走完以上这四步的只有CFCA,这也是现在市场上国外证书占据较大市场份额的主要原因。但如果你的网站属于政务、公共服务等涉及国计民生的行业,为预防重要信息的外泄,还是要优先选择根证书系统在境内的中国CA证书。其他行业则可以从风险控制水平高、证书签发快、技术支持完善的CA选择价格适中的全平台信任证书。
最后,我们再说下证书的年限问题。各大CA OV/EV证书的标价都是XX元/年,也就是证书使用超过一年就要续费。我们建议一次性向CA申请多年期证书,这样可以争取到更大的折扣。但年限是有限制的,OV证书最长可购买三年,EV证书为两年,到期后就要重新提交资料,CA审核通过后再签发证书。而为了避免出现旧证书已过期、新证书还未签发的情况,建议你至少在证书过期前的一个月着手申请证书,避免影响使用。
好了,我们已经比较详细的讲解了证书类型、品牌、年限的基本知识并提供了如何选择证书的参考建议,希望这些内容可以帮助你选好SSL证书,尽快跨入全网HTTPS的时代。
如果您有与SSL证书选型相关的问题,请拨打010-59798680或登录www.cfca.com.cn/ssl/查询。