Sectigo是什么
Sectigo 是全球领先的数字证书颁发机构(CA),前身为 Comodo CA,于 2018 年正式更名。它通过 WebTrust 国际权威认证,根证书预置在 Chrome、Firefox、Safari、Edge 及主流移动操作系统中,浏览器信任率超 99.9%。Sectigo 提供涵盖 DV、OV、EV 全等级的 SSL/TLS 证书,以及代码签名、邮件安全、文档签名等全栈 PKI 产品,广泛服务于中小企业、开发者及大型企业客户。
技术背景与行业定位
CA 身份与合规性
Sectigo 是 CA/Browser Forum 成员,严格遵循 Baseline Requirements(BR)与 RFC 5280 标准。其根证书体系已实现多层级交叉签名,支持 TLS 1.2 / TLS 1.3 协议,并兼容 ECC 和 RSA 加密算法。所有公开签发的证书均接入 CRL 与 OCSP Stapling 机制,满足现代浏览器对实时吊销状态验证的要求。
TLS 协议工作机制
在 TLS 握手阶段,Sectigo 签发的证书参与完整的 X.509 验证链:客户端校验证书有效期、域名匹配、签名有效性及上级 CA 信任锚点。其 DV 证书默认采用 SHA-256 + RSA-2048 或 ECDSA-P256 签名,私钥全程由用户本地生成,CA 不接触私钥——符合最小权限与零信任原则。
核心产品与部署实践
SSL证书类型与适用场景
Sectigo 主要提供三类面向网站的 SSL 证书:DV(域名验证型)、OV(组织验证型)和 EV(扩展验证型)。其中 DV 证书如 Sectigo DV SSL证书 适合个人博客、测试环境或快速上线项目,5 分钟内完成验证;OV 证书需人工审核营业执照等材料,适用于企业官网,可增强访客信任;EV 证书因地址栏显示企业名称,目前主要用于金融、政务类高敏感站点,但受 Chrome 2021 年策略调整影响,实际视觉标识已弱化。
通配符与多域名证书工程经验
生产环境中,我们常推荐客户选用 Sectigo DV通配符SSL证书 应对子域名动态扩展场景(如 api.example.com、cdn.example.com、blog.example.com)。但需注意:通配符仅覆盖一级子域,不保护二级子域(如 dev.api.example.com);若需覆盖多级,应搭配 SAN 扩展或选择 Sectigo多域名SSL证书。某电商平台曾因误用单通配符导致移动端 HSTS 预加载失败,最终采用混合 SAN+Wildcard 方案解决。
| 指标 | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 证书有效期 | CA/B Forum 规定 ≤ 398 天(约 13 个月) | 当前 Sectigo 默认签发 397 天,但 TopSSL 平台支持分段续期策略,规避集中过期风险 |
| 域名验证方式 | DV 必须支持 DNS / HTTP / Email 三种 | 推荐 DNS 验证——稳定性高、自动化友好,尤其适用于 CI/CD 流水线集成 |
| 证书链完整性 | 必须包含完整中间证书(Intermediate CA) | 部署时务必上传 SSL证书链下载 工具获取的 bundle 文件,否则 iOS Safari 易出现“不受信任”提示 |
常见问题
Q:Sectigo 证书是否支持国密 SM2 算法?
A:原生不支持。Sectigo 当前证书体系基于国际通用 RSA/ECC 标准,如需国密合规,建议选用 锐安信 或 沃通 等国产 CA 的 SM2 双证书方案。
Q:Sectigo 免费证书还能申请吗?
A:Sectigo 已于 2023 年底终止免费 DV 证书服务,现仅通过合作伙伴渠道提供限时试用版(如 Sectigo DV 多域名SSL证书(90天)),正式商用请选用付费型号。
Q:Sectigo 证书在微信小程序中能否使用?
A:可以。只要域名已完成 ICP 备案且 HTTPS 配置正确(含完整证书链、TLS 1.2+、无混合内容),Sectigo DV/OV 证书均被微信官方信任,无需额外白名单。
京公网安备11010502031690号
网站经营企业工商营业执照
