SSL证书收费标准与域名数量及类型强相关
SSL证书的定价模型并非统一按“一张证书一个价”,而是由域名覆盖范围、验证等级、加密算法、信任链深度、签发机构策略及服务周期共同决定。其中,**域名数量与结构是影响费用的首要技术因子**——单域名证书仅保护一个精确主机名(如 www.example.com),而多域名证书(SAN)或通配符证书(Wildcard)需在证书中显式声明多个标识符,其签发复杂度、CA审计成本与密钥生命周期管理开销均显著上升。浏览器根存储策略(如 Mozilla CA Certificate Policy)要求所有 SAN 条目必须通过独立域名控制权验证,这直接导致验证耗时与人工审核成本增加。此外,国密SSL证书因需同时封装 SM2 公钥与 RSA 公钥、支持双算法 TLS 握手协商,其证书结构扩展与签名计算量亦推高基础定价。
SSL证书的计费逻辑本质是风险与工程成本的映射:域名越多,私钥暴露面越广,吊销响应时效要求越高;通配符证书虽简化部署,但其 *.example.com 覆盖全部三级子域的特性,使单点私钥泄露后果呈指数级放大,因此主流CA普遍对通配符证书设置更高基价与更严实名核验要求。
SSL证书
域名数量直接影响证书类型选择与价格带宽
单域名SSL证书适用于单一FQDN场景,价格最低;多域名SSL证书支持最多100+个不同主域或子域共证,按域名数量阶梯计费;通配符证书则按层级计价(如一级通配符 *.example.com 与二级通配符 *.*.example.com 价格差异可达3倍)。DV SSL证书因自动化验证降低人工成本,常作为入门选项;OV SSL证书需完成组织真实性核验,费用上浮约40%–60%;EV SSL证书已基本退出主流浏览器地址栏UI展示,仅在特定金融合规场景保留需求。
域名结构复杂性引发额外成本项
含国际化域名(IDN)、特殊字符(如下划线、长连字符)、IP地址直连、内部私有DNS后缀(如 .internal、.lan)的域名,多数公共CA拒绝签发,需转向私有PKI或定制化解决方案,此时费用构成转为年维护费+每证书授权费。若域名涉及多TLD并行保护(如 example.com + example.cn + example.jp),必须使用多域名证书或分别采购,无法通过通配符覆盖。
| 维度 | 参考标准 | 工程师建议 |
|---|
| 域名数量 | CA/B Forum BR 1.8.1 要求每个 SAN 条目独立验证 | 优先用通配符覆盖同级子域;跨主域场景选多域名证书,避免混用多张单域名证书 |
| 验证等级 | BR 3.2.2.4 明确 DV/OV/EV 验证强度差异 | 除监管强制外,生产环境推荐 OV;内部系统可考虑私有CA+自签名 |
| 算法兼容性 | RFC 8446 (TLS 1.3) 强制要求 P-256 或 X25519 | 新部署应禁用 SHA-1/RSA-1024;国密SSL证书需同步配置 SM2+SM3+SM4 协商策略 |
常见问题
Q:一个证书能否同时保护 example.com 和 www.example.com? A:可以,但需在证书的 Subject Alternative Name (SAN) 字段中同时列出二者,属于多域名SSL证书范畴,非单域名证书默认能力。
Q:购买通配符证书后,是否需要为每个子域单独申请?
A:不需要,*.example.com 自动覆盖 mail.example.com、api.example.com 等所有一级子域,但不覆盖 sub.mail.example.com(需二级通配符或额外 SAN)。
Q:免费SSL证书是否支持多域名或通配符?
A:Let’s Encrypt 提供免费多域名证书,但不签发通配符证书(需 DNS-01 挑战且仅限 ACME v2);部分商业CA提供的免费ssl证书通常限单域名且不含通配符。
京公网安备11010502031690号
网站经营企业工商营业执照
