SSL证书分几种?DV、OV、EV及通配符/多域名证书详解
SSL证书按验证等级和覆盖范围可分为5大类:域名型(DV)、企业型(OV)、增强型(EV)、通配符(Wildcard)和多域名(SAN)证书。其中DV证书仅验证域名控制权,5分钟签发;OV/EV需人工核验组织资质,EV证书曾显示绿色地址栏(现已被主流浏览器移除)。当前生产环境90%以上网站采用DV或OV证书,EV证书主要用于金融级身份强认证场景。
SSL证书核心分类与技术定位
按验证强度划分:DV、OV、EV三级体系
DV证书(如DV SSL证书)仅需DNS或HTTP文件验证,适合博客、测试站等轻量场景;OV证书(如OV SSL证书)要求提交营业执照、法人信息等材料,验证周期1–3工作日,适用于电商、企业官网等需基础信任背书的站点;EV证书(如EV SSL证书)执行CA/B Forum最严标准,需实地核查+法律文件交叉验证,虽不再显示绿色栏,但仍是银行、支付平台首选——我们曾为某省级农信社部署EV证书时,发现其内部风控系统强制校验EV证书的Organization字段完整性。
按覆盖范围划分:通配符与多域名证书
通配符SSL证书(如通配符SSL证书)可保护*.example.com下所有一级子域(如shop.example.com、api.example.com),但无法覆盖二级子域(如dev.shop.example.com)或主域名本身——这点常被运维忽略,导致部署后出现证书不匹配错误;多域名证书(即SAN证书,如多域名证书)允许在单张证书中绑定最多100个不同域名(含www与非www变体),特别适合SaaS厂商管理客户白标站点。注意:Let's Encrypt免费证书对SAN域名数限制为100个,而商业证书如Sectigo支持扩展至250个。
证书选择工程实践指南
| - | 参考标准 | TopSSL专家建议 |
|---|---|---|
| DV证书 | RFC 6125 + CA/B Forum BR 1.8.1 | 中小网站首选;但禁止用于政务系统——某市监局曾因使用DV证书被等保测评否决 |
| OV证书 | CA/B Forum EV Guidelines v1.7.4 | 企业官网标配;推荐搭配HSTS预加载,避免降级攻击 |
| 通配符证书 | CA/B Forum Ballot 193 | 必须配合私钥加密存储;某客户将通配符私钥明文存于GitLab导致全站沦陷 |
常见问题
Q:DV和OV证书的HTTPS加密强度一样吗?
A:完全相同。两者均采用2048位RSA或256位ECC算法,区别仅在于浏览器地址栏显示的信任标识,而非加密能力。
Q:一张通配符证书能否同时保护example.com和www.example.com?
A:不能。通配符*仅匹配一级子域,主域名需单独添加到Subject Alternative Names中,否则Chrome会报NET::ERR_CERT_COMMON_NAME_INVALID。
Q:免费SSL证书(如Let's Encrypt)是否支持OV/EV验证?
A:不支持。所有免费CA均仅提供DV证书,因OV/EV需人工审核成本,无法免费提供——这也是为什么企业级SSL证书仍需付费的核心原因。
京公网安备11010502031690号
网站经营企业工商营业执照
