SSL 证书的类型 | SSL 证书类型介绍

有几种不同类型的 SSL 证书。尽管它们都提供相同级别的 TLS 加密,但用途各不相同,并且在不同的上下文中使用。

学习目标

阅读本文后,您将能够:

  • 了解不同类型的 SSL(TLS)证书
  • 了解不同的 SSL 证书验证级别

复制文章链接

SSL 证书有什么作用?

网站必须有 SSL 证书(更准确的名称是 TLS 证书)才能进行 HTTPS 加密。SSL 证书包含网站的公钥、为其颁发的域名、证书颁发机构的数字签名以及其他重要信息。它用于验证源站服务器的身份,这有助于防止中间人攻击、域欺骗以及攻击者用来假冒网站和诱骗用户的其他方法。

HTTPS 在用户的浏览器和与之通信的 Web 服务器之间创建加密连接,以防止通信被拦截。建立此加密连接离不开 SSL 证书(请参阅什么是 SSL证书?来了解更多信息)。

SSL 证书有哪些不同类型?

单域 SSL 证书

单域 SSL 证书适用于一个域,而且仅适用于这一个域。它不能用于认证任何其他域,甚至不能认证为其所对应的域的子域。

域上的所有页面也受证书保护;例如,如果 cloudflare.com 拥有有单域证书,则该证书也涵盖 cloudflare.com/learning(学习中心主页)。

Single Domain SSL Certificate

通配符 SSL 证书

通配符 SSL 证书适用于单个域及其所有子域。子域从属于主域。子域的地址通常以“www”之外的其他地址开头。

例如,www.cloudflare.com 有许多子域,如 blog.cloudflare.com、support.cloudflare.com 和 developers.cloudflare.com 等。各自都是 cloudflare.com 主域下的一个子域。

Wildcard SSL Certificate

单个通配符 SSL 证书可以应用于所有这些子域。任何子域都将列在 SSL 证书中。用户可以单击浏览器 URL 栏中的挂锁,然后单击“证书”(在 Chrome 中)来查看证书的详细信息,以此查看特定证书涵盖的子域列表。

多域 SSL 证书(MDC)

多域 SSL证书(或MDC)在一个证书上列出多个不同的域。使用 MDC,彼此不是子域的域可以共享证书。

Multi-Domain SSL Certificate

Cloudflare 颁发免费 SSL 证书,让任何人都能打开 HTTPS 加密,这些证书都是 MDC。也有专用和自定义 SSL 证书可供购买。

SSL 证书验证级别有哪些?

银行在向某个人发放贷款前,必须先进行信用检查。同样,在证书颁发机构(CA)向组织颁发 SSL 证书之前,也必须验证组织;必须证明该组织确实拥有并运营该域。这就是所谓的 SSL 证书验证。

但是,验证有不同的级别,既有最低限度的验证,也有详尽的背景调查。这些验证级别中的任何一个 SSL 证书都提供相同程度的 TLS 加密;唯一的区别是 CA 对组织开展的身份验证有多么详尽。

域验证 SSL 证书

域验证是最不严格的验证级别。要获得一个这样的 SSL 证书,组织只需证明它们控制了域。可以更改与域关联的 DNS 记录来完成,或者有时只需向 CA 发送一封电子邮件便可。该过程通常是自动化的。

此验证级别的成本最低。对于博客、作品展示站点,或者只是为了快速启动 HTTPS 的小型企业而言,这是一个不错的选择,特别是如果企业不通过其网站销售产品时(例如,餐馆或咖啡店)。

组织验证 SSL 证书

组织验证涉及手动审核过程:CA 将与请求 SSL 证书的组织联系,并且可能会做进一步调查。组织验证 SSL 证书将包含组织的名称和地址,从而使它们比域验证证书更受用户信任。

扩展验证 SSL 证书

Multi-Domain SSL Certificate

扩展验证涉及对组织的全面背景检查。CA 将确保该组织存在,是合法注册的企业,并且确实存在于其列出的地址,诸如此类。此验证级别花费的时间最长且成本最高,但扩展验证 SSL 证书比其他类型的 SSL 证书更值得信赖。因此,这些证书是网站地址将浏览器 URL 栏变为绿色的必要条件,这是可信任 TLS 加密站点向用户的直观呈现。

大型企业、金融机构和电子商务商店应获取扩展验证证书。如果站点或应用程序处理敏感的客户数据(例如密码、信用卡号,或姓名和地址等),这尤其重要。

要了解有关如何从 Cloudflare 获取免费 SSL 证书的更多信息,请参见我们的 SSL 页面检查您网站的 SSL 证书是否正常运作。