国内网站都用哪几家CA的SSL证书？

国内网站都用哪几家CA的SSL证书？

国内网站使用的 SSL 证书主要来自具备本地化服务能力、符合中国监管要求且被主流浏览器广泛信任的 CA 机构。这些 CA 提供的产品在兼容性、审核流程和价格上更贴近国内用户需求，尤其在政府、金融和企业级应用中表现突出。

主题锚点句

本文讨论范围限定于在中国大陆地区主流网站部署较多、具备国密支持或本地化服务优势的商业 CA 及其 SSL 证书产品。

主流商业 CA 与市场定位

国内使用较多的 CA 并非全部为中国法人实体，但均通过本地合作伙伴或直属品牌提供中文服务、合规适配与技术支持。主要参与者包括：

• 锐安信（sslTrus）：由数安时代（GDCA）推出的高性价比品牌，主打 DV/OV 证书，部分产品采用国产根体系，适用于对成本敏感且需基础加密保障的中小企业网站。了解更多
• vTrus：同样隶属于 GDCA，专注企业级 OV 和多域名证书，支持国际标准与国密算法双栈，在政务和金融行业有较多部署案例。了解更多
• 华测（CFCA）：中国金融认证中心（CFCA）旗下品牌，具备国家级信任背书，广泛应用于银行、证券、医保系统等强监管场景，支持 SM2 国密算法与 RSA 双证书部署。了解更多
• Sectigo（原 Comodo）：虽为国际 CA，但通过本地代理实现快速验证与中文支持，其 DV 证书价格亲民，是 Let's Encrypt 之外最常见的免费/低价替代方案。了解更多
• DigiCert：国际高端品牌，在大型国企、跨国公司中国分支中常见，尤其用于 EV 证书和统一通信证书（UCC），强调品牌可信度与全球一致性。了解更多

国密生态与合规适配

对于涉及国家信息安全等级保护要求的系统，尤其是三级及以上信息系统，常需支持 SM2/SM3/SM4 算法。此时会选用：

• CFCA：作为国家授权的电子认证服务机构，其 国密SSL证书 被纳入多个行业合规清单。
• 上海CA、北京CA、深圳CA 等地方性机构也在特定区域或垂直领域提供国密支持服务，但公网通用性较弱。

实际部署中，常采用“RSA + SM2”双证书策略，确保既能在公众互联网正常访问，又满足内网或特定客户端的国密合规要求。

低成本与自动化趋势

大量中小型网站、测试环境和开发者项目采用 Let’s Encrypt 提供的免费 DV 证书，结合 Nginx/Apache 自动续期脚本实现零成本 HTTPS 化。了解更多 其局限在于不支持通配符以外的高级功能，且需每 90 天轮换，对运维稳定性有一定挑战。

部分国产低价品牌如 XinSSL 也提供长期有效的廉价 DV 证书，适合无法运行 ACME 客户端的传统托管环境。了解更多

维度	参考标准	工程师建议
公共信任度	是否预置在 Chrome/Firefox/Android 信任库	优先选择国际 WebTrust 认证 CA，避免自签或私有根
合规要求	等保、密评、金融行业规范	涉及敏感数据时评估 CFCA 或支持国密的双证书方案
运维复杂度	证书有效期、自动续期能力	大规模部署建议结合 ACME 协议与自动化工具链

常见问题

Q：锐安信和 vTrus 是同一家 CA 吗？ A：是的，两者均由数安时代（GDCA）运营，定位不同：锐安信主打性价比 DV，vTrus 面向企业 OV 和合规场景。

Q：国密证书能在普通浏览器上直接使用吗？
A：不能。主流国际浏览器（Chrome、Firefox、Safari）不原生支持 SM2，需配合国密扩展插件或专用客户端（如红莲花浏览器）才能识别。

Q：为什么很多小网站用 Sectigo 而不是 DigiCert？
A：Sectigo 提供相似的技术功能但价格更低，且验证流程更轻量，适合无需 EV 绿色地址栏的品牌展示需求。