|
数字证书管理服务提供了多种类型和品牌的通配符证书、多域名证书和混合域名证书,适用于不同域名类型和规模的网站。您可参考本文选择最适合的SSL证书。 快速选型 影响SSL证书选型的因素较多,如购买预算、域名类型和数量、加密安全等级、加密算法、兼容性等。 个人用户选型示例如果您自己搭建了一个个人网站或博客,无数据传输需求,仅用于展示网站内容,可以参考下方表格,选择合适的SSL证书。 考虑因素 业务特征 推荐选型 域名类型和数量 仅需绑定1个域名(您只有1个网站和一个单域名) 选择单域名证书,即一张SSL证书对应保护一个域名。 验证强度、安全等级 证书签发验证流程简单快速,但安全等级一般 选择DV证书,CA机构仅验证域名的真实性,最快10分钟即可签发。 证书加密算法 无特殊加密需求,只需兼容主流浏览器 选择RSA算法,几乎兼容所有的浏览器。 证书品牌、预算 有保障、价格低 选择Alibaba Cloud品牌,价格最低。 企业用户选型示例 如果您是企业用户,请访问产品详情页,咨询技术专家。 按场景选型证书价格SSL证书的价格和证书类型、品牌等因素有关。 根据证书价格选择SSL证书 价格总览 下表展示了各品牌SSL证书的单域名、通配符域名、多域名的售卖价格,请您根据实际需求和预算选购。 重要 证书零售价格仅供参考,实际证书价格请以证书服务购买页为准。 各证书品牌价格对比证书品牌 证书类型 域名类型 价格(美元/张/年) 备注 Alibaba Cloud DV 单域名 99 / 通配符域名 199 / DigiCert DV 单域名 149 / 通配符域名 629 / OV 单域名 OV SSL:484 OV_PRO SSL:1,325 / 通配符域名 OV SSL:2,309 OV_PRO SSL:4,717 / EV 单域名 EV SSL:1,118 EV_PRO SSL:1,837 / GlobalSign DV 单域名 249 / 通配符域名 849 / OV 单域名 349 / 通配符域名 949 / 多域名 749 默认包含5个单域名。 网站的域名种类、数量 SSL证书需配合绑定域名或IP才能生效,您的网站绑定的域名类型和数量,直接决定了您需要申请何种类型、多少张SSL证书。 根据网站域名类型和数量选择SSL证书 阿里云支持申请单域名、多域名、通配符域名(泛域名)和混合域名证书。下表为您介绍不同域名类型的区别以及与证书相关的说明。 域名类型 选型说明 默认赠送域名规则 注意事项 单域名 一张证书只能绑定一个域名或一个公网IP(IPv4)。 申请主域名证书,默认赠送www子域名。示例:申请example.com,赠送。 申请www子域名证书,默认赠送主域名。示例:申请,赠送example.com。 支持赠送的品牌:DigiCert、GlobalSign、Alibaba Cloud 说明 申请证书时,域名验证方式如果选择文件验证,则不赠送。 仅Globalsign品牌的OV单域名证书支持绑定IP。 多域名 一张证书同时绑定多个单域名(主域名、子域名或公网IPv4地址)。如果您的网站拥有多个主域名或子域名,可以选择多域名证书。 说明 通过阿里云申请多域名证书时,最多支持包含5个单域名。 赠送规则和限制,同单域名。 多域名包含公网IPv4地址时,需要确保SSL证书为GlobalSign品牌的OV类型证书。 通配符域名 通配符域名指主域名及其所有次级子域名。如果您的网站主域名下有多个次级子域名,仅需购买一张通配符证书即可。 通配符域名的匹配规则如下: 只能匹配同级别的子域名,不能跨级匹配。 说明 *.aliyundoc.com的一级域名证书可以匹配、example.aliyundoc.com等二级子域名,但不能匹配、developer.demo.aliyundoc.com等三级子域名。 购买申请阶段,一张证书只能包含一个通配符域名。 说明 如需将多张通配符域名证书合并为一张证书使用,请参见:。 申请通配符域名,默认赠送主域名。示例: 申请*.example.com,默认赠送example.com。 申请*.doc.example.com,默认赠送doc.example.com。 支持赠送的品牌:所有品牌。 说明 申请证书时,域名验证方式如果选择文件验证,则不赠送。 仅支持申请DV和OV证书。 混合域名 指同一张证书中包含多种类型的域名。例如,当您需要为一个证书同时绑定*.aliyundoc.com和demo.example.com两种域名时,该证书就属于混合域名证书。 说明 阿里云支持通过合并多个相同品牌、类型的证书,生成混合域名证书,您可以在购买证书阶段直接选择合并签发,或在后续证书申请时选择合并签发。具体操作,请参见购买正式证书或。 混合域名的赠送规则,与其中包含的具体域名类型的赠送规则一致。 OV和EV证书:所有品牌均支持。 DV证书:仅GlobalSign品牌支持DV类型证书的合并申请,且GlobalSign品牌的DV类型证书必须确保主域名一致,例如example.com仅支持合并a.example.com、a.b.example.com等域名,不支持合并example.cn、example01.com等域名。 验证强度和安全性 SSL证书按照安全性、加密等级和审核方式的不同,可以分为:DV(域名型)、OV(企业型)、EV(企业增强型)三种类型,不同类型的SSL证书在安全性、支持品牌、适用网站类型等方面均有较大差异。 根据安全性和验证强度选择SSL证书 阿里云支持购买DV、OV、EV三种类型的SSL证书。 证书类型 适用网站类型 公信等级 认证强度 安全性 审核方式及资料 平均签发时长 DV(域名型) 个人网站、App服务、企业测试。 说明 没有企业营业执照的个人网站,只能申请DV型数字证书。 一般 一般,CA机构仅审核个人网站真实性。 一般 DNS验证。 1~15分钟 OV(企业型) 政府组织、中小型企业或教育机构等。 说明 建议购买OV及以上类型的数字证书。 高 高,CA机构审核组织及企业真实性。 高 邮件或电话。需提交验证域名、公司信息、营业执照等。 5个自然日 EV(企业增强型) 大型企业、金融机构、电商等涉及交易支付和隐私数据的高私密网站。 说明 建议购买EV型证书。 最高 最高,严格认证。 最高 邮件或电话。需提交验证域名、公司信息、营业执照等。 5个自然日 证书加密算法 SSL证书常用的加密算法有RSA、ECC等,不同加密算法在安全等级、性能效率、兼容性、应用场景上均有差异。 根据加密算法选择SSL证书 阿里云SSL证书支持的加密算法为RSA、ECC,如果您的业务对算法的类型和性能有要求,可以参考以下内容选择证书。 国际标准算法: RSA:一种广泛应用的非对称加密算法,在兼容性和普遍适用性上表现最好; ECC(椭圆曲线加密算法):晚于RSA出现,和RSA相比更先进、更安全,且加密速度快、效率更高、资源消耗更低,已在主流浏览器中得到推广。 说明 RSA和ECC算法的SSL证书都可用于Web站点、小程序、App等应用场景,但在确保性能、兼容性和满足特性合规要求时,需要进行评估和规划。 对比项 RSA算法 ECC算法 安全性与密钥长度 长度要求较高。支持的密钥长度为2048位和4096位。 相对较小的密钥长度即可达到相同安全级别。 256位:相当于RSA 2048位密钥所提供的安全性。 384位:相当于RSA 3072位密钥所提供的安全性。 性能效率/加解密速度 慢。 快。尤其在有限资源环境下表现更优,例如移动设备、物联网(IoT)设备等。 内存和CPU占用 高。 低。 兼容性 好。 较好,稍逊于RSA。 各品牌和类型的SSL证书的算法支持性: 证书品牌 证书类型 RSA ECC 签名算法 密钥长度 签名算法 密钥长度 SHA256withECDSA SHA384withECDSA 2048 4096 prime256v1 secp384r1 SHA256withRSA SHA384withRSA DigiCert DV
OV
EV
GlobalSign DV
OV
Alibaba Cloud DV
说明 SSL证书签名算法默认采用SHA256withRSA或SHA256withECDSA,暂不支持在数字证书管理服务控制台选择哈希函数为SHA384的签名算法,如需使用该签名算法签发证书,您需要本地创建CSR文件并将CSR文件上传至控制台。具体操作,请参见如何制作CSR文件和。 证书品牌证书品牌一般不作为首次选型的首要考虑因素,只有当您续费证书或希望在新业务中继续使用相同品牌的证书时,可以考虑优先确定证书品牌减少干扰项,购买同品牌、同规格的证书。 根据证书品牌选择SSL证书 目前国际比较知名的品牌有DigiCert、GlobalSign等。在选择证书品牌时,您需要考虑品牌支持的证书类型、签名算法类型、密钥长度、域名类型以及价格等因素,并结合自身的业务需求和预算进行综合考量。 说明 如果仍不能确认证书品牌,您可以访问产品详情页,进行技术专家评测咨询。 证书品牌 证书认证机构 说明 DigiCert DigiCert, Inc. DigiCert(原Symantec)是知名的数字证书颁发机构、值得信赖的SSL证书品牌,所有证书都采用业界先进的加密技术,为不同的网站和服务器提供安全解决方案。 GlobalSign、Alibaba Cloud GMO GlobalSign Pte Ltd. GlobalSign是较早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的CA和SSL数字证书提供商。相较于其他品牌证书,Alibaba Cloud品牌证书价格更为优惠。 (责任编辑:) |
