SSL 憑證:SSL 憑證類型說明

有幾種不同類型的 SSL 憑證。雖然所有這些都提供相同層級的 TLS 加密,但它們具有不同的目的,並且用於不同的環境中。

學習目標

閱讀本文後,您將能夠:

  • 瞭解不同類型的 SSL (TLS) 憑證
  • 瞭解不同的 SSL 憑證驗證等級

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

使用 Cloudflare 的免費 SSL/TLS 提高安全性和信任

SSL 憑證有什麼作用?

網站必須有 SSL 憑證(更準確的名稱是 TLS 憑證)才能進行 HTTPS 加密。SSL 憑證包含網站的公開金鑰、為其頒發的網域名稱、憑證授權單位的數位簽章以及其他重要資訊。它用於驗證來源伺服器的身分,這有助於防止中間人攻擊、網域詐騙以及攻擊者用來假冒網站和誘騙使用者的其他方法。

HTTPS 在使用者的瀏覽器和與之通訊的 Web 伺服器之間建立加密連線,以防止通訊被攔截。建立此加密連線離不開 SSL 憑證(請參閱什麼是 SSL 憑證?以瞭解更多資訊)。

SSL 憑證有哪些不同類型?

單一網域 SSL 憑證

單一網域 SSL 憑證適用於一個網域,而且僅適用於這一個網域。它不能用於驗證任何其他網域,甚至不能驗證其所對應網域的子網域。

網域上的所有頁面也受憑證保護;例如,如果 cloudflare.com 擁有單一網域憑證,則該憑證也涵蓋 cloudflare.com/learning(學習中心主頁)。

單一網域 SSL 憑證

萬用字元 SSL 憑證

萬用字元 SSL 憑證適用於單個網域及其所有子網域。子網域從屬於主要網域。子網域的位址通常不以「www」開頭。

例如,www.cloudflare.com 有許多子網域,如 blog.cloudflare.com、support.cloudflare.com 和 developers.cloudflare.com 等。每一個都是 cloudflare.com 主要網域下的一個子網域。

萬用字元 SSL 憑證

單個萬用字元 SSL 憑證可以應用於所有這些子網域。任何子網域都將列在 SSL 憑證中。使用者可以點擊瀏覽器 URL 欄中的掛鎖,然後點擊「憑證」(在 Chrome 中)來檢視憑證的詳細資料,以此查看特定憑證涵蓋的子網域清單。

多重網域 SSL 憑證 (MDC)

多重網域 SSL憑證 (MDC )在一個憑證上列出多個不同的網域。使用 MDC,彼此不是子網域的網域可以共用憑證。

多重網域 SSL 憑證

Cloudflare 頒發免費 SSL 憑證,讓任何人都能開啟 HTTPS 加密,這些憑證都是 MDC。也有專用和自訂 SSL 憑證可供購買。

SSL 憑證驗證層級有哪些?

銀行在向某個人發放貸款前,必須先進行信用檢查。同樣,在憑證授權單位 (CA) 向組織頒發 SSL 憑證之前,也必須驗證組織;必須證明該組織確實擁有並營運該網域。這就是所謂的 SSL 憑證驗證。

但是,驗證有不同的層級,既有最低限度的驗證,也有詳盡的背景調查。這些驗證層級中的任何一個 SSL 憑證都提供相同程度的 TLS 加密;唯一的區別是 CA 對組織開展的驗證的詳盡程度。

網域驗證 SSL 憑證

網域驗證是最不嚴格的驗證層級。要獲得一個這樣的 SSL 憑證,組織只需證明他們控制該網域即可。他們可以透過更改與網域關聯的 DNS 記錄來實現此目的,或者有時只需向 CA 傳送一封電子郵件便可。該過程通常是自動化的。

此驗證級別的成本最低。對於部落格、作品展示網站,或者只是為了快速啟動 HTTPS 的小型企業而言,這是一個不錯的選擇,特別是如果企業不透過其網站銷售產品時(例如,餐館或咖啡店)。

組織驗證 SSL 憑證

組織驗證涉及手動審核過程:CA 將與請求 SSL 憑證的組織聯繫,並且可能會做進一步調查。組織驗證 SSL 憑證將包含組織的名稱和地址,從而使它們比網域驗證憑證更受使用者信任。

延伸驗證 SSL 憑證

多重網域 SSL 憑證

延伸驗證涉及對組織的全面背景檢查。CA 將確保該組織存在,是合法註冊的企業,並且確實存在於其列出的地址,等等。此驗證級別花費的時間最長且成本最高,但延伸驗證 SSL 憑證比其他類型的 SSL 憑證更值得信賴。因此,這些憑證是網站位址將瀏覽器 URL 欄變為綠色的必要條件,這是可信任 TLS 加密網站向使用者的視覺呈現。

大型企業、金融機構和電子商務商店應獲取延伸驗證憑證。如果網站或應用程式處理敏感的客戶資料(例如密碼、信用卡號,或姓名和地址等),這尤其重要。

要瞭解有關如何從 Cloudflare 獲得免費 SSL 憑證的更多資訊,請參閱我們的 SSL 頁面