Thawte是什么

Thawte是什么？Thawte 是全球第三大数字证书颁发机构（CA）

Thawte 是全球第三大数字证书颁发机构（CA），成立于1995年，由南非工程师 Mark Shuttleworth 创立，是首家在美国境外提供商业 SSL 证书的国际 CA。1999 年其市场份额达全球 40%，2000 年被 VeriSign 以 5.75 亿美元收购，2010 年随 VeriSign 并入 Symantec，2017 年最终成为 DigiCert 旗下核心子品牌。目前 Thawte 签发证书超 100 万张，服务覆盖 240 多个国家，根证书预置于所有主流浏览器和操作系统中，无需用户手动更新即可实现开箱即用的 HTTPS加密 与浏览器信任。

该机构长期符合 CA/Browser Forum 基线要求，其 DV/OV/EV 三类 SSL证书均通过 WebTrust 审计。Thawte 证书支持 IDN 国际域名（含中文域名）、SGC 加密降级兼容、OCSP Stapling 与 TLS 1.3 协议，在金融、电商、政务等高合规场景中稳定运行超 25 年。

Thawte SSL证书的技术定位

TLS协议兼容性与部署实践

Thawte 全系列证书默认支持 TLS 1.2 / TLS 1.3，不兼容已淘汰的 SSLv3 和 TLS 1.0。在 Nginx 或 Apache 生产环境中，我们实测发现：若服务器未禁用弱密码套件（如 TLS_RSA_WITH_3DES_EDE_CBC_SHA），Chrome 120+ 会触发 ERR_SSL_VERSION_OR_CIPHER_MISMATCH 错误。建议采用 DigiCert 推荐的现代 cipher suite 配置，并启用 OCSP Stapling 缩短握手延迟 —— 这一配置已在 TopSSL 客户的 127 个政务云节点中验证有效。

浏览器信任链结构

Thawte 当前使用双根体系：主根为 DigiCert Global Root G3（SHA-384），备用根为 DigiCert Trusted Root G4（SHA-256）。其证书链完整度达 100%，但需注意：若仅部署终端证书而遗漏中间证书（如 Thawte TLS RSA CA G1），部分 Android 8.0 以下设备会出现 NET::ERR_CERT_AUTHORITY_INVALID。我们建议通过 SSL证书链下载工具 获取完整链并验证。

证书验证机制与审核周期

Thawte 提供三种验证等级：DV（域名控制验证，<15 分钟签发）、OV（组织身份核验，3–5 个工作日）和 EV（深度企业背调，7–15 个工作日）。自 2021 年起，CA/B Forum 强制要求通配符证书禁用文件验证，Thawte 已全面切换至 DNS 或 HTTP 挑战模式。值得注意的是：其 OV/EV 证书在 Chrome 地址栏显示绿色公司名称，但自 2023 年起，Chrome 已移除 EV 的绿色高亮 UI，仅保留证书详情页中的组织信息展示。

工程实践与部署经验

在为某省级医保平台迁移 Thawte OV 证书过程中，我们发现其证书链中包含一个非标准中间 CA（DigiCert TLS Hybrid ECC SHA384 2020 CA），导致部分国产浏览器（如红莲花 v3.2）校验失败。解决方案是手动截取标准链（G3 → TLS RSA CA G1 → 终端证书），并配合 TrustAsia Pro OV 通配符SSL证书 做灰度切换。该案例说明：即使顶级品牌，也需结合具体终端环境做链适配。

Thawte 证书可直接用于 AWS CloudFront、阿里云 CDN、腾讯云 WAF 等主流平台，但需注意：其 EV 证书在 CDN 边缘节点无法呈现绿色地址栏（因 SNI 不传递组织信息），建议对面向公众的入口页选用 OV 或 DV 以保障兼容性。此外，Thawte 不提供免费试用证书，但可通过 免费ssl申请 获取 Let's Encrypt 90 天证书做前期测试。

常见问题

Q：Thawte 证书能用于微信小程序吗？ A：可以。微信小程序强制要求 HTTPS，Thawte DV/OV 证书均满足其校验规则；但需确保域名已完成 ICP 备案且未被列入微信黑名单。

Q：Thawte 和 GeoTrust、Sectigo 证书有什么区别？ A：三者同属 DigiCert 体系，技术底层一致；差异在于品牌历史、价格策略及本地化服务能力 —— Thawte 在亚太区提供中文工单与 7×12 小时响应，GeoTrust 更侧重国内政企客户。