SSL证书类型之间的区别
SSL证书类型的核心差异在于验证强度、信任等级、适用场景及技术能力。DV仅验证域名控制权,OV需核验企业真实信息,EV则执行最严苛的法律实体审查;通配符与多域名证书则在覆盖范围上形成横向扩展能力。选择错误类型可能导致浏览器不显示绿色地址栏、移动端兼容异常或等保测评不通过。
验证级别决定信任深度
DV(域名验证型)证书是入门级选择,仅需通过DNS、HTTP文件或邮箱完成域名所有权确认,签发最快可在数分钟内完成。OV(组织验证型)必须提交营业执照、组织机构代码证等材料,由CA人工审核企业真实性,通常需1–2个工作日。EV(扩展验证型)要求提供工商注册文件、实际办公地址证明及法人授权书,部分品牌如CFCA还要求现场核验,整体周期达3个工作日以上。2026年起,主流浏览器已取消EV绿色地址栏标识,但金融类系统仍强制要求EV满足等保三级审计条款。
覆盖范围影响部署效率
单域名证书仅保护一个精确匹配的FQDN(如www.topssl.cn),不自动包含无www前缀版本;多域名证书(SAN)支持最多250个独立域名,适合SaaS平台管理多个客户站点;通配符证书(如*.topssl.cn)可覆盖无限级一级子域名(a.topssl.cn、api.topssl.cn),但无法保护二级子域(a.b.topssl.cn)或主域名本身——该限制常被运维人员忽略,导致生产环境HTTPS中断。值得注意的是,自2021年12月起,所有CA均禁止对通配符证书使用文件验证方式,必须采用DNS或HTTP-01挑战。
加密算法与国密合规性
传统RSA 2048位证书兼容性最好,但密钥体积大、握手延迟高;ECC P-256在同等安全强度下性能提升40%,已成为TLS 1.3默认推荐;SM2是中国商用密码标准,仅在国产浏览器(红莲花、360极速)、政务云及金融信创环境中强制启用。华测、CFCA、锐安信等国产CA同时提供RSA/ECC/SM2三算法双证书方案,满足“全球信任+国密合规”双重要求。若目标用户含大量iOS设备,需特别注意Apple Root Store未预置部分国密根证书,须额外配置中间链。
| 对比维度 | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 证书有效期 | CA/B Forum BR v2.0 要求≤398天,2029年起将缩至47天 | 优先选用自动续期方案(如acme.sh),避免人工漏续导致业务中断 |
| 浏览器兼容性 | Chrome 120+、Firefox 115+、Safari 17+ 已弃用TLS 1.0/1.1 | 新部署必须禁用SSLv3/TLS 1.0,Nginx配置中明确指定TLS 1.2+ cipher suite |
| 证书链完整性 | RFC 5280 规定客户端需能构建完整信任链 | 务必下载并部署中级CA证书,仅上传终端证书会导致Android 7以下设备报NET::ERR_CERT_AUTHORITY_INVALID |
常见问题
Q:DV证书和OV证书在HTTPS加密强度上有区别吗?
A:没有。加密强度取决于密钥算法(RSA/ECC/SM2)和密钥长度,与验证级别无关。DV与OV使用相同2048位RSA密钥时,传输层安全性完全一致。
Q:一张通配符SSL证书可以安装在多少台服务器上?
A:法律上无数量限制,但生产实践中建议单张证书部署不超过5台核心服务器。超过该数量需考虑密钥泄露风险,并启用OCSP Stapling降低证书吊销查询延迟。
Q:为什么申请了OV证书,浏览器地址栏却没有绿色标识?
A:自2019年起Chrome、Firefox等主流浏览器已移除EV专属UI,OV与DV在视觉上无差异。绿色锁图标仅表示连接已加密且证书链可信,与验证级别无关。
京公网安备11010502031690号
网站经营企业工商营业执照
