有几种不同类型的 SSL 证书。尽管它们都提供相同级别的 TLS 加密,但用途各不相同,并且在不同的上下文中使用。
阅读本文后,您将能够:
复制文章链接
网站必须有 SSL 证书(更准确的名称是 TLS 证书)才能进行 HTTPS 加密。SSL 证书包含网站的公钥、为其颁发的域名、证书颁发机构的数字签名以及其他重要信息。它用于验证源站服务器的身份,这有助于防止在途攻击、域欺骗以及攻击者用来假冒网站和诱骗用户的其他方法。
HTTPS 在用户的浏览器和与之通信的 Web 服务器之间创建加密连接,以防止通信被拦截。建立此加密连接离不开 SSL 证书(请参阅什么是 SSL证书?来了解更多信息)。
单域 SSL 证书适用于一个域,而且仅适用于这一个域。它不能用于认证任何其他域,甚至不能认证为其所对应的域的子域。
域上的所有页面也受证书保护;例如,如果 cloudflare.com 拥有有单域证书,则该证书也涵盖 cloudflare.com/learning(学习中心主页)。
通配符 SSL 证书适用于单个域及其所有子域。子域从属于主域。子域的地址通常以“www”之外的其他地址开头。
例如,www.cloudflare.com 有许多子域,如 blog.cloudflare.com、support.cloudflare.com 和 developers.cloudflare.com 等。各自都是 cloudflare.com 主域下的一个子域。
单个通配符 SSL 证书可以应用于所有这些子域。任何子域都将列在 SSL 证书中。用户可以单击浏览器 URL 栏中的挂锁,然后单击“证书”(在 Chrome 中)来查看证书的详细信息,以此查看特定证书涵盖的子域列表。
多域 SSL证书(或MDC)在一个证书上列出多个不同的域。使用 MDC,彼此不是子域的域可以共享证书。
银行在向某个人发放贷款前,必须先进行信用检查。同样,在证书颁发机构(CA)向组织颁发 SSL 证书之前,也必须验证组织;必须证明该组织确实拥有并运营该域。这就是所谓的 SSL 证书验证。
但是,验证有不同的级别,既有最低限度的验证,也有详尽的背景调查。这些验证级别中的任何一个 SSL 证书都提供相同程度的 TLS 加密;唯一的区别是 CA 对组织开展的身份验证有多么详尽。
域验证是最不严格的验证级别。要获得一个这样的 SSL 证书,组织只需证明它们控制了域。可以更改与域关联的 DNS 记录来完成,或者有时只需向 CA 发送一封电子邮件便可。该过程通常是自动化的。
此验证级别的成本最低。对于博客、作品展示站点,或者只是为了快速启动 HTTPS 的小型企业而言,这是一个不错的选择,特别是如果企业不通过其网站销售产品时(例如,餐馆或咖啡店)。
组织验证涉及手动审核过程:CA 将与请求 SSL 证书的组织联系,并且可能会做进一步调查。组织验证 SSL 证书将包含组织的名称和地址,从而使它们比域验证证书更受用户信任。
扩展验证涉及对组织的全面背景检查。CA 将确保该组织存在,是合法注册的企业,并且确实存在于其列出的地址,诸如此类。此验证级别花费的时间最长且成本最高,但扩展验证 SSL 证书比其他类型的 SSL 证书更值得信赖。因此,这些证书是网站地址将浏览器 URL 栏变为绿色的必要条件,这是可信任 TLS 加密站点向用户的直观呈现。
大型企业、金融机构和电子商务商店应获取扩展验证证书。如果站点或应用程序处理敏感的客户数据(例如密码、信用卡号,或姓名和地址等),这尤其重要。
要进一步了解如何从 Cloudflare 获得免费的 SSL 证书,请参阅我们的 SSL 页面。