常见的SSL证书品牌有哪些
常见且广泛被浏览器信任的SSL证书品牌包括Sectigo、Digicert、GlobalSign、GeoTrust、Thawte、锐安信(sslTrus)、沃通(WoTrus)、CFCA、华测(CTI)和Certum等。这些CA机构均通过WebTrust或ETSI认证,其签发的SSL证书在Chrome、Firefox、Safari及Edge中默认受信。其中Sectigo与Digicert占据全球近60%市场份额,而锐安信、CFCA、华测等国产CA则在政务、金融及国密合规场景中成为主力选择。
国际主流SSL证书品牌解析
Sectigo(原Comodo CA)
Sectigo是全球SSL证书签发量最大的CA之一,DV/OV/EV全品类覆盖,支持单域名、多域名(SAN)、通配符及混合型部署。其PositiveSSL系列以高性价比著称,适合个人博客与中小站点;Sectigo OV证书已通过中国工信部备案,支持中文企业名称显示,兼容国内主流CDN与WAF平台。
Digicert与GeoTrust
Digicert于2017年收购Symantec数字证书业务后,整合为统一品牌体系,现提供Secure Site系列(含Basic/OV/EV),支持自动OCSP Stapling与HTTP/2优化。GeoTrust作为Digicert子品牌,主打Flex系列OV/EV证书,对国内企业审核响应快,平均签发周期为1–2工作日。需注意:自2025年起,Digicert已停用旧根证书,新签发证书强制使用DigiCert Global G4根链。
GlobalSign与Thawte
GlobalSign成立于1996年,是最早获得WebTrust认证的CA之一,其AlphaSSL(DV)与OrganizationSSL(OV)证书在电商、SaaS平台中部署率高。Thawte则以IDN(国际化域名)支持见长,可直接为中文域名(如“公司.中国”)签发证书,且无需Punycode转码。二者均要求严格的企业资料核验,不支持纯邮箱验证。
国产权威SSL证书品牌实践
锐安信(sslTrus)
锐安信是国内少有同时具备WebTrust与国密SM2双资质的CA,其DV/OV证书已预置入红莲花、360、奇安信等国产浏览器根库。工程实践中发现:锐安信OV证书在阿里云WAF、腾讯云CDN中无需手动上传中间证书,系统自动补全证书链;但部署于老旧Windows Server 2008 R2时需额外导入国密根证书补丁包。
CFCA与华测(CTI)
CFCA是国家级电子认证服务机构,其EV SSL证书满足《密码法》与等保2.1三级要求,适用于政府门户、央行分支机构网站。华测则专注“RSA+SM2”双算法证书,支持Apache/Nginx/Tomcat全栈国密部署,但需注意:部分Android 8.0以下设备不支持SM2证书,建议采用双证书策略(RSA主链+SM2备用链)。
| 品牌 | 参考标准 | TopSSL专家建议 |
|---|---|---|
| Sectigo | CA/B Forum BR v2.0 / WebTrust | 中小站点首选;DV证书建议搭配Sectigo DV SSL证书,签发快、兼容强 |
| Digicert | ETSI EN 319 411-1 / ISO 27001 | 金融级应用推荐;OV证书请选用Digicert Secure site OV |
| 锐安信 | GM/T 0015-2012 / 国密局认证 | 政务/国企项目必选;锐安信OV SSL证书支持一键企业信息核验 |
| CFCA | GM/T 0014-2012 / 等保三级 | 关键基础设施推荐;EV证书需提前5个工作日预约人工审核 |
常见问题
Q:Let’s Encrypt算不算主流SSL证书品牌?
A:Let’s Encrypt是公益CA,非商业品牌,其DV证书免费、自动化程度高,但不支持OV/EV验证,且自2024年起证书有效期缩至90天,不适用于需长期稳定信任的生产环境。
Q:为什么有些国产SSL证书在Chrome里显示“不安全”?
A:多数因未完成根证书预置或中间证书链缺失。例如某国产CA未加入Google Chromium根证书计划,或部署时未同步上传完整证书链(Root + Intermediate + Domain),需使用SSL证书链下载工具补全。
Q:购买多个品牌SSL证书,能否混用?
A:技术上可行,但运维风险高。不同CA的OCSP响应时间、CRL更新频率、吊销策略差异大,混合部署易导致浏览器验签超时。建议同一业务域统一CA品牌。
京公网安备11010502031690号
网站经营企业工商营业执照
