本文提供了基於業務情境的SSL認證選型指南，涵蓋驗證等級、網域名稱類型、密碼編譯演算法及品牌選擇，協助使用者精準匹配安全性、相容性與成本效益最優的認證方案。 - Certificate Management Service

選擇合適的 SSL 憑證對保障網站安全、建立訪客信任及滿足合規要求至關重要。錯誤的選型可能導致服務中斷、安全性漏洞或不必要的成本支出。本文通過業務情境驅動的快速匹配與結構化參數決策流程，協助精準識別所需認證的驗證等級、網域名稱類型、密碼編譯演算法及品牌，從而高效選出兼顧安全性、相容性與成本效益的最優方案。

快速選型

情境一：個人專案、開發測試或非商業性網站

適用情境：個人部落格、作品集展示、本地開發環境、CI/CD 測試流水線、教學示範等非商業、非生產用途。
核心需求：低成本、快速部署、無需高可用保障。
推薦認證類型：DV 單網域名稱或萬用字元認證。
推薦品牌：Alibaba Cloud。

情境二：中小型企業官網、電商、小程式等生產業務

適用情境：企業官方網站、中小型電商平台、微信小程式後端服務、SaaS 應用入口等面向公眾的生產系統。
核心需求：穩定 HTTPS 加密、適度信任展示、高性價比。
推薦認證類型：DV 萬用字元認證或 OV 單網域名稱認證。
驗證等級：DV 或 OV。
網域名稱支援：萬用字元（*.aliyundoc.com）或單網域名稱。
推薦品牌：Rapid、GeoTrust、DigiCert。
注意事項：
- 若需保護多個子網域名稱，優先選擇萬用字元認證。
- 若需在認證中展示公司資訊以增強使用者信任，應選擇 OV 認證。

情境三：金融、政府、大型企業或高信任度業務

適用情境：網上銀行、證券交易系統、政務服務平台、大型企業客戶門戶、支付網關等對安全與合規要求極高的關鍵業務系統。
核心需求：最高信任背書、行業合規性、品牌公信力。
推薦認證類型：EV 認證或 OV 認證。
驗證等級：EV / OV。
網域名稱支援：單網域名稱或多網域名稱（依業務架構而定）。EV 認證不支援萬用字元網域名稱（行業標準限制）；如需萬用字元認證，請選擇 OV 類型。
推薦品牌：GeoTrust、GlobalSign、DigiCert。
注意事項：
- 主流現代瀏覽器（如 Chrome、Edge、Safari 等）已取消地址欄直接顯示企業名稱（綠色地址欄）的功能，公司資訊現移至認證詳情面板中展示。
- EV 認證仍具備最高等級的身份認證標準，具備完整的法律效力，是金融與政務系統防範釣魚攻擊、建立使用者信任的首選。

情境四：服務通過公網 IP 位址訪問（無網域名稱）

適用情境：直接通過公網 IPv4 地址提供服務的裝置或系統（如 IoT 網關、Edge Server、遺留系統），且無法佈建網域名。
推薦認證類型：OV 單網域名稱認證（支援 IP）。
驗證等級：OV。
網域名稱支援：公網 IPv4 地址（僅限特定品牌）。
推薦品牌：GlobalSign、DigiCert、GeoTrust。
注意事項：僅GlobalSign、DigiCert、GeoTrust品牌的OV單網域名稱類型認證支援綁定IP。

選型參數詳解

選型流程

根據實際的業務需求，按以下步驟逐步確定所需認證的核心參數：

第一步：確定驗證等級
- 僅需基礎 HTTPS 加密，無需展示公司資訊？ → 選擇 DV（網域名稱驗證型）。
- 希望在認證中展示企業身份以增強使用者信任？ → 選擇 OV（組織驗證型）。
- 屬於金融、政務、支付等高合規要求情境？ → 選擇 EV（擴充驗證型）。
第二步：確定網域名稱類型
- 僅保護單個網域名稱（如 www.example.com）？ → 選擇單網域名稱認證。
- 需保護同一主域下的所有子網域名稱（如 *.example.com）？ → 選擇萬用字元認證。
- 需保護多個不同網域名稱（如 a.com + b.com）？ → 選擇多網域名稱認證。
- 需混合保護萬用字元和單網域名稱？ → 選擇混合網域名稱認證。
- 服務通過公網 IP 位址直接存取（無網域名稱）？ → 需選擇支援 IP 位址的認證（僅部分 OV 認證支援）。
第三步：確定密碼編譯演算法
- 追求最廣泛的相容性（相容老舊裝置和瀏覽器）？ → 選擇RSA 演算法。
- 追求更高效能和更強安全性（適合移動端、IoT 等）？ → 選擇ECC 演算法。
第四步：確定認證品牌
根據預算和偏好，參考價格資訊，在認證品牌中進行最終選擇。

驗證等級（DV / OV / EV）

SSL 憑證按驗證等級可分為：DV（網域名稱驗證型）、OV（組織驗證型）、EV（擴充驗證型）。不同驗證等級在審核材料、簽發時間長度、信任展示等方面存在差異。

說明

對於不具備公司資訊的個人網站，僅可申請 DV（網域名稱型）SSL 憑證。

對比項	DV（網域名稱驗證型）	OV（組織驗證型）	EV（擴充驗證型）
適用情境	個人網站、App服務、企業測試。	政府組織、中小型企業或教育機構等。	大型企業、金融機構、電商等涉及交易支付和隱私資料的高私密網站。
驗證等級	低，CA（憑證授權單位）僅驗證網域名稱所有權。	中，CA驗證企業真實身份。	高，CA嚴格審核企業及法律身份。
驗證方式及資料	DNS驗證。	郵件或電話。需提交驗證網域名稱、公司資訊等。	郵件或電話。需提交驗證網域名稱、公司資訊等。
平均簽發時間長度	1~15分鐘。	5個自然日	5個自然日

網域名稱類型（單網域名稱 / 萬用字元 / 多網域名稱）

SSL認證需與綁定的網域名稱或IP地址配合使用方可生效。網站所綁定的網域名稱類型及數量，直接決定所需申請的SSL認證類型和數量。阿里雲支援申請以下類型的SSL認證：單網域名稱、多網域名稱、萬用字元網域名稱（泛網域名稱）以及混合網域名稱認證。下表列出了各類網域名稱的區別及相關認證說明。

網域名稱類型	選型說明	注意事項
單網域名稱	一張認證僅綁定一個完整網域名稱（如 `www.aliyundoc.com`）。	支援 DV、OV、EV 三種驗證等級。
多網域名稱	一張認證可綁定多個不同網域名稱或 IP（預設至多5個）。	如需包含 IP 位址，需使用上述支援 IP 的 OV 認證品牌。
萬用字元網域名稱	使用 `.aliyundoc.com` 形式，可匹配所有同級子網域名稱。它僅能匹配萬用字元 `` 所在位置的單一層級。例如：萬用字元網域名稱 `*.aliyundoc.com` 可以匹配 `www.aliyundoc.com`、`a.aliyundoc.com` 等子網域名稱，但不能匹配 `a.b.aliyundoc.com`、`c.d.aliyundoc.com` 等多級子網域名稱。	僅支援DV和OV認證。購買申請階段，一張認證僅能包含一個萬用字元網域名稱。說明如需將多張萬用字元網域名稱認證合并為一張認證使用，請參見：認證合并申請。
混合網域名稱	同一張認證中包含不同類型的網域名稱（如 `*.aliyundoc.com`和`demo.example.com`）。說明在購買或申請認證階段，均支援合并多個品牌及類型相同的認證，產生混合網域名稱認證。具體操作請參見購買正式認證或認證合并申請。	OV和EV認證：所有品牌均支援合并。 DV認證：僅GlobalSign品牌支援。 GlobalSign品牌的DV混合網域名稱認證要求所有網域名稱的主網域名稱必須一致。例如，若主網域名稱為 `aliyundoc.com`，則僅允許合并其子網域名稱（如 `a.aliyundoc.com、a.b.aliyundoc.com`），不支援合并其他主網域名稱（如 `aliyundoc.cn、aliyundoc01.com`）。
IP	一張認證綁定一個公網 IPv4 地址。	僅GlobalSign、DigiCert、GeoTrust品牌的OV單網域名稱類型認證支援綁定IP。

說明

認證購買並完成簽發後，如符合相關條件，將在該認證中免費包含額外網域名稱。具體規則請參見認證贈送網域名稱規則。

密碼編譯演算法（RSA / ECC）

RSA：一種廣泛應用的非對稱式加密演算法，在相容性和普遍適用性上表現最好。
ECC（橢圓曲線密碼編譯演算法）：晚於RSA出現，和RSA相比更先進、更安全，且加密速度快、效率更高、資源消耗更低，已在主流瀏覽器中得到推廣。

對比項	RSA演算法	ECC演算法
安全性與密鑰長度	長度要求較高。支援的密鑰長度為2048位和4096位。	相對較小的密鑰長度即可達到相同安全層級。 256位：相當於RSA 2048位密鑰所提供的安全性。 384位：相當於RSA 3072位密鑰所提供的安全性。
效能效率/加解密速度	慢。	快。尤其在有限資源環境下表現更優，例如行動裝置、物聯網（IoT）裝置等。
記憶體和CPU佔用	高。	低。
相容性	好。	較好，稍遜於RSA。

各品牌及類型的SSL認證所支援的密碼編譯演算法如下：

認證品牌	認證類型	RSA				ECC
		簽名演算法		密鑰長度		簽名演算法		密鑰長度
		SHA256withRSA	SHA384withRSA	2048	4096	SHA256withECDSA	SHA384withECDSA	prime256v1	secp384r1
DigiCert	DV	支援	支援	支援	支援	不支援	不支援	不支援	不支援
	OV	支援	支援	支援	支援	支援	支援	支援	支援
	EV	支援	支援	支援	支援	支援	支援	支援	支援
GeoTrust	OV	支援	支援	支援	支援	支援	支援	支援	支援
GeoTrust	EV	支援	支援	支援	支援	支援	支援	支援	支援
GlobalSign	DV	支援	支援	支援	支援	不支援	不支援	不支援	不支援
GlobalSign	OV	支援	支援	支援	支援	支援	支援	支援	支援
Rapid	DV	支援	支援	支援	支援	不支援	不支援	不支援	不支援
Alibaba Cloud	DV	支援	支援	支援	支援	不支援	不支援	不支援	不支援

說明

SSL認證簽名演算法預設採用SHA256withRSA或SHA256withECDSA，暫不支援在數位憑證管理服務控制台選擇雜湊函數為SHA384的簽名演算法，如需使用該簽名演算法簽發認證，您需要本地建立CSR檔案並將CSR檔案上傳至控制台。具體操作，請參見如何製作CSR檔案和上傳CSR。

認證品牌

在選擇認證品牌時，需考慮品牌支援的驗證等級、網域名稱類型、密碼編譯演算法以及價格等因素，並結合自身的業務需求和預算進行綜合考量。

說明

若仍無法確定認證品牌，可訪問產品詳情頁，填寫“數位憑證管理服務供應項目諮詢”表單以擷取售前諮詢服務。

認證品牌	認證認證機構	說明
DigiCert	DigiCert, Inc.	DigiCert（原Symantec）是知名的數位憑證頒發機構、值得信賴的SSL認證品牌，所有認證都採用業界先進的加密技術，為不同的網站和伺服器提供安全解決方案。
Rapid	DigiCert, Inc.	Rapid 是 DigiCert 旗下的入門級 SSL 憑證品牌，專註於提供快速簽發、高性價比的網域名稱驗證型（DV）認證，適用於個人網站和小型企業的基礎加密需求。
GlobalSign、Alibaba Cloud	GMO GlobalSign Pte Ltd.	GlobalSign是較早的數位憑證認證機構之一，一直致力於網路安全認證及數位憑證服務，是一個備受信賴的CA和SSL數位憑證供應商。相較於其他品牌認證，Alibaba Cloud品牌認證價格更為優惠。

價格參考

SSL認證的價格和認證類型、驗證等級、網域名稱類型、認證品牌等因素有關，請根據實際需求和預算選購。

重要

以下認證零售價格僅供參考，實際認證價格請以認證服務購買頁為準。

認證品牌	認證類型	網域名稱類型	價格（美元/張/年）	備忘
認證品牌	認證類型	網域名稱類型	價格（美元/張/年）	備忘
Alibaba Cloud	DV	單網域名稱	99	/
Alibaba Cloud	DV	萬用字元網域名稱	199	/
GeoTrust	OV	單網域名稱	324	/
GeoTrust	OV	萬用字元網域名稱	1020	/
Rapid	DV	單網域名稱	66	/
Rapid	DV	萬用字元網域名稱	263	/
DigiCert	DV	單網域名稱	149	/
	DV	萬用字元網域名稱	629	/
	OV	單網域名稱	OV SSL：484 OV_PRO SSL：1,325	/
	OV	萬用字元網域名稱	OV SSL：2,309 OV_PRO SSL：4,717	/
	EV	單網域名稱	EV SSL：1,118 EV_PRO SSL：1,837	/
GlobalSign	DV	單網域名稱	249	/
	DV	萬用字元網域名稱	849	/
	OV	單網域名稱	349	/
		萬用字元網域名稱	949	/
		多網域名稱	749	預設包含5個單網域名稱。

購買認證

若需購買認證，請參見購買正式認證。

常見問題

我只有公網IP地址，沒有網域名稱，應該選擇哪種認證？

請選擇支援IP地址的 OV單網域名稱認證。在購買時，選擇 GlobalSign、DigiCert、GeoTrust品牌的OV認證，並在申請時填寫公網IP地址。

續約或重新簽發了認證，需要重新部署嗎？

需要。每次續約或重新簽發後，將得到一張全新的認證。必須將新的認證檔案下載並重新部署到Web伺服器上，以替換舊認證。

說明

若續約購買了多年期認證，且前一張認證已通過雲產品部署將認證部署至阿里雲雲產品（如ALB、WAF、CDN、DDoS等），則當前認證簽發後，Certificate Management Service (Original SSL Certificate)將通過雲產品受管理的部署自動在相關雲產品中部署。若部署失敗，系統將通過郵件及站內信發送通知。

萬用字元認證（例如 `*.aliyundoc.com`）包含主網域名稱（`aliyundoc.com`）嗎？

綁定萬用字元網域名稱，自動贈送對應的主網域名稱。如：綁定*.aliyundoc.com時贈送aliyundoc.com。

說明