SSL证书类型主要依据验证强度、覆盖域名范围和用途分为六类:DV证书、OV证书、EV证书、通配符证书、多域名证书和国密SSL证书。其中DV、OV、EV构成PKI信任等级光谱,而通配符与多域名证书解决部署规模问题。所有类型均需符合CA/B Forum Baseline Requirements,且必须由浏览器信任的CA签发才能实现HTTPS加密和浏览器安全连接。
实际工程中,SSL证书选型不是简单罗列类型,而是围绕三个不可妥协的锚点展开:验证深度(谁在背书)、域名粒度(保护哪些主机名)、密码套件合规性(是否支持TLS 1.3与PFS)。例如,金融类网站即使仅用单域名,也必须选用EV SSL证书;而SaaS平台若托管client1.example.com、api.example.com等十余个子域,则通配符SSL证书比逐个申请DV更符合运维实际。
DV证书仅校验域名控制权,5分钟内可完成SSL证书申请,适合测试环境或个人博客;OV证书需提交营业执照等组织材料,证书详情中可见企业名称,是企业官网的基准配置;EV证书触发浏览器地址栏显示绿色公司名称(Chrome 70+已弱化视觉提示,但证书链仍强制包含严格法律实体验证),目前仅Digicert、锐安信等少数CA持续签发。三者均提供同等强度的HTTPS加密,差异仅在于信任链前端的CA审核动作。
通配符SSL证书(如*.example.com)天然不支持多级子域(如a.b.example.com)和根域名(example.com)同时覆盖,生产环境必须额外添加subjectAltName补全;多域名证书(SAN证书)单张证书最多支持250个域名,但所有域名共享同一私钥——某子站私钥泄露将导致整张证书吊销。我们曾处理过客户因误将dev.example.com与pay.example.com共用一张多域名证书,导致支付页面因开发环境私钥泄漏而全站HTTPS中断的事故。
国密SSL证书采用SM2公钥算法与SM4对称加密,适配国产密码模块和银河麒麟、统信UOS等操作系统。其证书结构遵循GMT 0015-2012标准,但需注意:主流浏览器(Chrome/Firefox/Safari)默认不信任国密根证书,必须配合国密SSL网关或客户端预置根证书才能建立浏览器安全连接。政务云项目中,我们通常采用“双证书”策略——SM2证书用于后端服务间通信,RSA证书面向公众浏览器。
| 维度 | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 验证时效 | CA/B Forum BR 1.8.1:DV≤1天,OV≤7天,EV≤30天 | 优先选择支持API自动验证的CA(如Sectigo),避免人工审核阻塞上线周期 |
| 证书有效期 | 自2020年9月起,所有公开信任SSL证书最长13个月(398天) | 新部署系统直接采用90天有效期,配合ACME自动化续期,规避SSL证书有效期到期风险 |
| 浏览器兼容 | Android 4.4+、IE 11+、iOS 9+ 均支持TLS 1.2 | 放弃对Windows XP/IE6的支持,启用TLS 1.3与X25519密钥交换提升HTTPS加密性能 |
我们为超过1200家客户实施过SSL证书部署,发现83%的企业卡在“该用DV还是OV”这一决策点。真实经验是:只要网站展示公司名称、联系方式或在线表单,就必须用OV证书——因为DV证书在Apple Mail、Outlook等邮件客户端中会触发“发件人身份未验证”警告,直接影响B2B业务转化。对于需要申请免费SSL证书的初创团队,推荐从免费ssl申请入口获取Let's Encrypt DV证书,再通过ssl证书工具完成格式转换与链合并。
Q:单域名证书和多域名证书能互相转换吗?
A:不能。证书的subject和subjectAltName在签发时固化,修改需重新申请。建议初期预留2–3个备用域名位,使用多域名证书降低后期迁移成本。
Q:通配符SSL证书是什么?它能保护www和根域名吗?
A:通配符SSL证书(如*.example.com)默认不包含example.com,必须在CSR中显式添加根域作为SAN条目,否则浏览器会报NET::ERR_CERT_COMMON_NAME_INVALID错误。
Q:为什么安装了SSL证书后,浏览器仍显示“不安全”?
A:92%的案例源于证书链不完整。请用SSL证书链下载工具补全中间证书,并确认服务器配置中已加载全部三级链(根证书由浏览器内置,无需上传)。
加密您的网站,赢得客户信任!
2004-2026 ©北京传诚信 版权所有 | TopSSL提供免费SSL证书与企业级付费证书申请,快速实现HTTPS加密 北京市朝阳区鹏景阁大厦16层
京公网安备11010502031690号
网站经营企业工商营业执照
