全部產品
Search
文件中心

Certificate Management Service:SSL認證選購指引

更新時間:Jul 26, 2024

阿里雲數位憑證管理服務提供多種SSL認證類型和品牌,適用於不同規模的網站,包括但不限於電商、小型企業、大型企業或個人等。此外,還提供萬用字元認證、多網域名稱認證和混合網域名稱認證,以滿足不同業務需求,如保護多個子網域名稱或多個不同的網域名稱。您可以根據網站的規模、業務需求和預算,參考本文選擇最適合的認證來保障網站的安全。

選購樣本

在選擇SSL認證前,您需要考慮保護的網域名稱數量、認證安全等級、認證密碼編譯演算法與用戶端或服務端相容性、認證密碼編譯演算法的效能以及合規情境等因素。

  • 個人使用者:如果您是個人使用者且搭建了自己的個人部落格或個人測試網站,且網站無資料轉送業務,僅用來展示純資訊或內容,您可以參考下表選購SSL認證。

    考慮因素

    業務特徵

    推薦

    確定保護的網域名稱數量

    僅保護1個網站1個網域名稱

    選擇單網域名稱認證,即一張SSL認證保護一個網域名稱。

    確定驗證強度和安全等級

    驗證流程簡單快速,安全等級一般即可

    選擇DV認證,只驗證網域名稱真實性,簽發最快10分鐘。

    確定SSL密碼編譯演算法

    沒有強加密要求,相容主流瀏覽器即可

    選擇RSA演算法,相容幾乎所有瀏覽器。

    確定SSL認證品牌和預算

    有保障且價格低

    選擇DigiCert品牌,價格最低。

  • 企業使用者:如果您是企業使用者,請您訪問產品詳情頁,諮詢技術專家

選購詳情說明

根據網站網域名稱數量選擇網域名稱類型

SSL認證是通過綁定網域名稱或IP使用的,因此您可以按照SSL認證所保護的網域名稱數量選購SSL認證。阿里雲SSL認證支援申請單網域名稱、多網域名稱、萬用字元網域名稱(泛網域名稱)和混合網域名稱認證。下表為您介紹不同網域名稱類型的區別以及選購說明。

網域名稱類型

選購說明

支援認證品牌和認證類型

單網域名稱

單網域名稱是指一個認證只能保護一個主網域名稱、一個子網域名稱或一個公網IP(IPv4)。例如,www.aliyundoc.com。如果您有一個網站或者小程式,且只有一個網域名稱或IP,單網域名稱SSL認證是最佳選擇。

所有認證品牌和類型均支援。

僅Globalsign品牌的OV單網域名稱認證支援綁定IP。

多網域名稱

多網域名稱是指一個認證同時綁定多個單網域名稱(主網域名稱、子網域名稱或公網IPv4地址)。如果您的網站擁有多個主網域名稱或子網域名稱,可以選擇多網域名稱認證。

說明

通過阿里雲申請多網域名稱認證時,最多支援綁定5個單網域名稱。

所有認證品牌的OV和EV認證。

多網域名稱包含公網IPv4地址時,需要確保SSL認證為Globalsign品牌的OV類型認證。

萬用字元網域名稱

萬用字元網域名稱是指對應一個主網域名稱及其次級網域名稱的所有子網域名稱。如果您的網站存在很多同層級的子網域名稱,選擇萬用字元網域名稱認證,您僅需購買一張萬用字元認證即可,而無需為每個子網域名稱單獨購買認證。

萬用字元網域名稱認證匹配網域名稱的規則如下:

  • 萬用字元網域名稱認證只能匹配同層級的子網域名稱,不能跨級匹配。 例如,*.aliyundoc.com的網域名稱認證匹配demo.aliyundoc.com、learn.aliyundoc.com、example.aliyundoc.com等子網域名稱,但是不匹配guide.demo.aliyundoc.com、developer.demo.aliyundoc.com等網域名稱。

  • 如果萬用字元網域名稱認證的主網域名稱為頂層網域,數位憑證管理服務預設贈送主網域名稱。例如,您申請的萬用字元網域名稱認證為*.aliyundoc.com,則預設贈送主網域名稱aliyundoc.com(Alibaba Cloud品牌除外)。如果您申請的萬用字元網域名稱為*.demo.aliyundoc.com,則不會贈送demo.aliyundoc.com或aliyundoc.com。

  • 阿里雲只支援申請單個萬用字元網域名稱的認證,不支援申請多萬用字元網域名稱的認證,即一張認證包含多個萬用字元網域名稱。如需申請該類型認證,可以通過合并多個相同品牌、類型的認證,產生多萬用字元認證。具體操作,請參見認證合并申請

所有品牌的DV和OV認證。

混合網域名稱

混合網域名稱認證是指同一張認證中包含多個不同類型的網域名稱。例如,當您需要為同一個認證綁定*.aliyundoc.comdemo.example.com時,則將這種認證稱為混合網域名稱認證。阿里雲支援通過合并多個相同品牌、類型的認證,產生混合網域名稱認證,您可以在購買認證的時候直接合并簽發為混合網域名稱認證,或在後續認證申請時合并簽發。具體操作,請參見購買SSL認證認證合并申請

所有品牌的OV認證。

根據驗證強度和安全性選擇認證類型

阿里雲支援購買DV認證、OV認證和EV認證三種類型的SSL認證。不同類型認證的安全性、支援的認證品牌和適用的網站類型不同,具體如下表所示。

認證類型

適用網站類型

公信等級

認證強度

安全性

審核方式及資料

簽發時間

支援的認證品牌

DV(網域名稱型)

適用於個人網站、App服務、展示型網站、企業測試或個人測試網站。

說明

如果您的網站主體是個人(即沒有企業營業執照),只能申請DV型數位憑證。

一般

CA機構審核個人網站真實性、不驗證企業真實性

一般

通過DNS驗證。僅需提交網域名稱即可。

1~2個工作日,最快10分鐘簽發

  • DigiCert

  • GlobalSign

  • Alibaba Cloud

OV(企業型)

適用於政府組織、中小型企業或教育機構等。

說明

對於一般企業、移動端網站或介面調用,建議購買OV及以上類型的數位憑證。

CA機構審核組織及企業真實性

郵件或電話。需提交驗證網域名稱、公司資訊、營業執照等。

3~7個工作日

  • DigiCert

  • GlobalSign

EV(企業增強型)

適用於大型企業、金融機構、電商等涉及交易支付和隱私資料的高私密網站。

說明

對於金融、支付類企業,建議購買EV型認證。

最高

嚴格認證

最高

郵件或電話。需提交驗證網域名稱、公司資訊、營業執照等。

3~7個工作日

DigiCert

根據認證密碼編譯演算法選擇認證

阿里雲SSL認證支援的密碼編譯演算法為RSA、ECC和國密SM2,如果您的業務對演算法的類型和效能有要求,可以參考以下內容選擇認證。

  • 國際標準演算法:RSA密碼編譯演算法目前應用廣泛的非對稱式加密演算法(通過公開金鑰和私密金鑰來進行資料的安全傳輸和驗證),相較於後來出現的ECC演算法,RSA在相容性和普遍適用性上表現出更強的優勢;ECC(橢圓曲線密碼編譯)演算法相比於RSA,是一種更先進和安全的密碼編譯演算法(加密速度快、效率更高、伺服器資源消耗低),目前已在主流瀏覽器中得到推廣。RSA和ECC演算法的SSL認證都可用於Web網站、小程式、App等應用情境,但在確保效能、相容性和滿足特性合規要求時,需要進行評估和規劃。

    對比項

    RSA

    ECC

    安全性與密鑰長度

    長度要求較高。支援的密鑰長度為2048位和4096位。

    相對較小的密鑰長度即可達到相同安全層級。

    • 256位:相當於RSA 2048位密鑰所提供的安全性。

    • 384位:相當於RSA 3072位密鑰所提供的安全性。

    效能效率

    加解密速度慢。

    加解密速度快,尤其在有限資源環境下表現更優,例如行動裝置、物聯網(IoT)裝置等。

    記憶體和CPU佔用

    較高。

    較少。

    相容性

    更廣泛相容現有系統、瀏覽器和應用程式。

    相容性較好但相比RSA略遜。

  • 國密標準演算法:SM2橢圓曲線公開金鑰密碼演算法中國國家密碼管理局發布的ECC橢圓曲線公開金鑰密碼演算法,在中國商用密碼體系中用來替代RSA演算法。SM2演算法的SSL認證適用於滿足國密合規的使用者。

認證品牌

認證類型

密鑰長度

簽名演算法

RSA

ECC

SM2

RSA

ECC

SM2

2048

4096

prime256v1

secp384r1

sm2p256v1

SHA256withRSA

SHA384withRSA

SHA256withECDSA

SHA384withECDSA

SM3withSM2

DigiCert

DV

對

對

錯

錯

錯

對

對

錯

錯

錯

OV

對

對

對

對

錯

對

對

對

對

錯

EV

對

對

對

對

錯

對

對

對

對

錯

GlobalSign

DV

對

對

錯

錯

錯

對

對

錯

錯

錯

OV

對

對

對

對

錯

對

對

對

對

錯

Alibaba Cloud

DV

對

對

錯

錯

錯

對

對

錯

錯

錯

說明

SSL認證簽名演算法預設採用SHA256withRSASHA256withECDSA,暫不支援在數位憑證管理服務控制台選擇雜湊函數為SHA384的簽名演算法,如需使用該簽名演算法簽發認證,您需要本地建立CSR檔案並將CSR檔案上傳至控制台。具體操作,請參見如何製作CSR檔案上傳CSR

根據認證品牌優勢選擇認證

SSL認證是CA機構(Certificate Authority,憑證授權單位)驗證網站或網域名稱資訊後簽發的,CA市場存在多個知名的品牌,目前國際比較知名的品牌有DigiCert、GeoTrust、GlobalSign等。在選擇認證品牌時,您需要考慮品牌支援的認證類型、簽名演算法類型、密鑰長度、網域名稱類型以及價格等因素,並結合自身的業務需求和預算進行綜合考量。如果仍不能確認認證品牌,您可以訪問產品詳情頁,進行技術專家評測諮詢。

認證品牌

認證認證機構

說明

DigiCert

DigiCert, Inc.

DigiCert(原Symantec)是知名的數位憑證頒發機構、值得信賴的SSL認證品牌,所有認證都採用業界先進的加密技術,為不同的網站和伺服器提供安全解決方案。

GlobalSignAlibaba Cloud

GMO GlobalSign Pte Ltd.

GlobalSign是較早的數位憑證認證機構之一,一直致力於網路安全認證及數位憑證服務,是一個備受信賴的CA和SSL數位憑證供應商。相較於其他品牌認證,Alibaba Cloud品牌認證價格更為優惠。

認證品牌價格對比

認證品牌

認證類型

方案價格(/張/年)

單網域名稱

萬用字元網域名稱

Alibaba Cloud

DV

99美元

199

DigiCert

DV

149美元

629

OV

  • OV SSL:484美元

  • OV_PRO SSL:1,325美元

  • OV SSL:2,309美元

  • OV_PRO SSL:4,717美元

EV

  • EV SSL:1,118美元

  • EV_PRO SSL:1,837美元

不涉及

GlobalSign

DV

249美元

849美元

OV

349美元

949美元

相關文檔