前言
网站搭建和客户端打包都会用到数字签名证书,市场上那么多签名证书应该用哪个呢?这个问题之前也困扰过我,自己前前后后调研过多次,每次调研,上次的内容都忘的差不多了,感觉这次有必要记录一下,一方面避免以后可能的重复工作,另一方面是希望对需要的人有所帮助。
正文
市面常用的证书类型一般有四种,分别是自定义证书、DV证书、OV证书、EV证书,接下来我们就具体了解一下它们各自的特点和区别。
一、证书类型
DV证书:域名验证型证书,证书审核方式为通过验证域名所有权即可签发证书。此类型证书适合个人和小微企业申请,价格较低,申请快捷,但是证书中无法显示企业信息,安全性较差。如果是部署在web网站上,浏览器中显示锁型标志。
OV证书:企业验证型证书,证书审核方式为通过验证域名所有权和申请企业的真实身份信息才能签发证书。目前OV类型证书是全球运用最广,兼容性最好的证书类型。此证书类型适合中型企业和互联网业务申请。如果是部署在web网站上,浏览器中显示锁型标志,并能通过点击查看到企业相关信息。支持ECC高安全强度加密算法,加密数据更加安全,加密性能更高。
EV证书:增强验证型证书,证书审核级别为所有类型最严格验证方式,在OV类型的验证基础上额外验证其他企业的相关信息,比如银行开户许可证书。EV类型证书多使用于银行、金融、证券、支付等高安全标准行业。如果是部署在web网站上,其在地址栏可以显示独特的EV绿色标识地址栏,最大程度的标识出网站的可信级别。支持ECC高安全强度加密算法,加密数据更加安全,加密性能更高。
自定义证书:顾名思义就是就是自己通过私有协议定义的数字证书,受信任等级也是最低的。如果自己做实验也是可以研究一下的。在Windows Kits中有一个工具——makecert.exe,可以用来制作自定义的签名证书,方法非常简单,可以上网搜一下,然后再用signtool.exe给相应的应用签名即可。
二、证书区别
2.1 OV、DV和EV证书的区别
为了大家能够清楚的区分DV、OV、EV证书的区别,这里整理了一个对比表格:
类型/区别 | DV SSL证书 | OV SSL证书 | EV SSL证书 |
审核内容 | 域名所有权 | 域名所有权、企业信息 | 域名所有权、企业信息、第三方数据核查(GoDaddy、邓白氏、114、律师函) |
颁发周期 | 几分钟-几小时 | 3个工作日左右 | 7个工作日左右 |
使用年限 | 1-2年 | 1-2年 | 1-2年 |
证书可信度 | 低 | 较高 | 最高 |
浏览器显示形式 | https+小锁标志 | https+小锁标志 | https+小锁标志+绿色网址+企业名称 |
适用对象 | 中小型企业网站、电子商务网站、电子邮局服务器、个人网站等 | 企业网站、电子商务网站、证券、金融机构等 | 银行、保险、金融机构、电子商务网站、大型企业等 |
价格 | DV证书价格便宜(1000元左右) | OV证书中等(2000元左右) |
EV证书价格最高(4000元左右) |
2.2 如何区分OV和DV证书?
OV证书和DV证书中使用者的信息对比如下图所示:
通过对比图可以看出:OV型证书会在证书的Subject中显示域名+单位名称等信息,而DV型证书只会在证书的Subject中显示域名信息。
2.3 如何区分EV和OV证书?
EV证书和DV证书中使用者的信息对比如下图所示:
通过对比图可以看出:在使用者一栏中,EV证书比OV证书多了很多其他信息,最明显的区别是显示了序列号等信息,这是EV证书特有的字段,而其他类型证书所没有的。这也是区分EV和OV证书的第一个方法。第二个方法观察颁发者一栏,如果是EV证书,一般会有EV的标示,但并不是所有的EV证书都有这个标示,所以这个方法可以作为一种辅助手段。
如果是部署在web网站上,浏览器对EV证书更加“信任”,当浏览器访问到EV证书时,可以在地址栏显示出公司名称,并将地址栏变成绿色,这是第三种区别的方法。具体的不同表现,可以参考下图:
三、市场调研
3.1 证书类型的选择
随着网络的普及,互联网攻击事件也日益增多,越来越多的企业开始意识到HTTPS加密的重要性。无论是企业想要将网站从HTTP升级为HTTPS,还是做出一个具有系统信任等级更高的客户端时,选择一个靠谱的SSL证书就成了非常必要的前提条件。然而,市场上的SSL证书五花八门,往往让我们无从选择。对于领域新人来说,如果我们不知道怎么选择,其实,可以先看看市场上其他应用都使用的什么证书。然后再根据企业自身不同的规模和业务类型做出最佳的选择。
3.2 常见应用的证书类型
接下来,我们先看看几个常见应用的证书使用情况。
1. 腾讯会议,使用的证书类型是OV证书。
2. Zoom,使用的证书类型是EV证书。
3. 钉钉,使用的证书类型是EV证书。
4. 云端课堂,使用的证书类型是OV证书。
这里需要说一下,腾讯会议使用OV证书,这一点让我没有想到,这种做法值得表扬。
当然还有其他一些应用,这里就不一一列举了,使用EV证书的应用还是非常多的。
结尾
DV证书目前几乎快被市场淘汰了,自定义证书就更不建议使用了。市面上现在使用最多最广的就是OV和EV证书,如果是面向公众提供服务、有用户账户登录、有多个应用需求,多个域名需要部署可以考虑购买OV型证书,方便用户快速识别网站真实性,实现全网SSL。如果需要实现在线交易、有高价值的数据保密需求(比如涉及商业秘密的视频会议)可以考虑购买EV型证书,提供最高安全性。