SSL證書簡介

前言

以前寫了一篇本站點如何部署SSL證書的文章《Centos7.4下用Docker-Compose部署WordPress（續）-服務器端用Nginx做爲反向代理並添加SSL證書（阿里雲免費DV證書）》，裏面說起了DV證書（Domain Valicated Certificate），其實證書主要分爲三種，分別爲DV、OV和EV，咱們如何根據不一樣的應用場景來購買證書呢？本文就來簡單介紹下。

文中出現的CA，都是Certificate Authority（證書受權中心）的縮寫。

DV證書（Domain Valicated Certificate）

DV證書是用來驗證網站域名全部權的簡易型SSL證書，DV證書僅能起到網站機密信息加密的做用，沒法向用戶證實網站的真實身份。也就是DV證書僅能從數據傳輸層保障信息安全，避免中間人攻擊，但並不能保障網站安全（若是一個釣魚網站也綁定了DV證書，僅能說明用戶在訪問該網站的時候，數據的傳輸過程是安全的，但不保證網站是安全的）。所以，若是是企業級的站點，尤爲是電子商務公司的站點，必須選用更高級別的SSL證書。

優勢

• 相比HTTP，綁定了SSL證書走HTTPS協議以後，瀏覽器中將會出現安全網站提示的圖標
• 只要擁有域名管理權便可申請，無需提供額外申請資料
• 如今不少CA提供免費的DV證書，像我的網站這種非企業網站能夠不花錢就增長安全性
• CA系統自動簽發，無需人工干預，所以能夠幾分鐘甚至幾秒鐘就能拿到證書

缺點

• 不對網站及網站全部者的真實性、合法性進行驗證

OV證書（Organization Validated Certificate）

OV證書是比DV更高級的證書，申請OV證書是須要以公司名義向CA提交書面的申請，而後由CA指派其所屬的Vetting Team（審查團隊、部門）來驗證真實性。通常來講須要提供企業營業執照、企業固定電話、網站業務類型及用途、網站負責人姓名及聯繫方式等內容，並簽署一份申請文件。提供這些信息後，對方會經過第三方數據庫驗證所提供資料的真實性。經過審覈後，CA將簽發OV證書。

優勢

• 包含了DV的優勢
• 確保了網站及其公司的真實有效性
• 瀏覽器證書中會包含企業相關信息，客戶端用戶能夠經過查看證書信息查看相關內容

缺點

• 收費且不便宜（雖然只是多了一我的工審覈的過程，可是單域名OV每一年就要人民幣3-5k，若是是通配符域名證書，多是單域名證書的2-N倍的價格，固然，OV是針對企業的，這點錢對企業來講也徹底能夠接受）
• 整個簽發過程須要1-3個工做日

EV證書

安全最高級別的證書，用該種證書的網站比較少，其申請流程也更爲複雜嚴格。通常須要在OV證書驗證流程的基礎上，額外再簽署一份用戶協議書（通常會包含承諾使用者遵照CA行業規範，不能用以違法用途等），另外還可能按照不一樣CA的要求，須要額外簽署一些協議或者申請表。固然，除了貴之外，這種證書會在主流瀏覽器的地址欄附近直接顯示公司名稱，讓用戶一目瞭然是該公司所屬的域名。輸入URL地址並按回車以後就能看到，看起來就一副很牛的樣子，如圖：

優勢

• 包含OV的優勢
• 直接在瀏覽器的地址欄中顯示企業名稱

缺點

• 賊貴，要比同類的OV證書還要貴1-2倍的樣子

其餘證書

有些CA可能還提供一些其餘類型的CA，可是極其小衆，本文也不作介紹了。

後話

經過以上的介紹，相信在實際場景中，各位已經知道須要選用哪一種類型的證書了。那爲何咱們須要用SSL加密咱們的網站呢？首先，有SSL的站點會增長專業用戶的信任和好感。其次，不論是什麼類型的網站，經過SSL加密以後，能避免中間人攻擊，防止網站內容被劫持並篡改。比較著名的是好久之前，百度尚未SSL加密以前（固然，沒有加密的全部網站都有這個問題，百度只是比較有名，因此用它來做爲例子：》），用戶的搜索結果中，常常被插入亂七八糟的廣告內容（不是如今的百度推廣，百度推廣是百度本身的付費廣告服務）。固然，某些企業會選用最貴最高級的EV證書來展現其實力、形象及安全性。

---

本文在博客園和個人我的博客www.fujiabin.com上同步發佈。轉載請註明來源。

---

參考文檔

• https://www.ssl.com/article/dv-ov-and-ev-certificates/
• 中間人攻擊（MIM/MITM）