全部产品
Search
文档中心

数字证书管理服务:SSL证书选购指引

更新时间:Jul 25, 2024

阿里云数字证书管理服务提供多种SSL证书类型和品牌,适用于不同规模的网站,包括但不限于电商、小型企业、大型企业或个人等。此外,还提供通配符证书、多域名证书和混合域名证书,以满足不同业务需求,如保护多个子域名或多个不同的域名。您可以根据网站的规模、业务需求和预算,参考本文选择最适合的证书来保障网站的安全。

选购示例

在选择SSL证书前,您需要考虑保护的域名数量、证书安全等级、证书加密算法与客户端或服务端兼容性、证书加密算法的性能以及合规场景等因素。

  • 个人用户:如果您是个人用户且搭建了自己的个人博客或个人测试网站,且网站无数据传输业务,仅用来展示纯信息或内容,您可以参考下表选购SSL证书。

    考虑因素

    业务特征

    推荐

    确定保护的域名数量

    仅保护1个网站1个域名

    选择单域名证书,即一张SSL证书保护一个域名。

    确定验证强度和安全等级

    验证流程简单快速,安全等级一般即可

    选择DV证书,只验证域名真实性,签发最快10分钟。

    确定SSL加密算法

    没有强加密要求,兼容主流浏览器即可

    选择RSA算法,兼容几乎所有浏览器。

    确定SSL证书品牌和预算

    有保障且价格低

    选择DigiCert品牌,价格最低。

  • 企业用户:如果您是企业用户,请您访问产品详情页,咨询技术专家

选购详情说明

根据网站域名数量选择域名类型

SSL证书是通过绑定域名或IP使用的,因此您可以按照SSL证书所保护的域名数量选购SSL证书。阿里云SSL证书支持申请单域名、多域名、通配符域名(泛域名)和混合域名证书。下表为您介绍不同域名类型的区别以及选购说明。

域名类型

选购说明

支持证书品牌和证书类型

单域名

单域名是指一个证书只能保护一个主域名、一个子域名或一个公网IP(IPv4)。例如,www.aliyundoc.com。如果您有一个网站或者小程序,且只有一个域名或IP,单域名SSL证书是最佳选择。

所有证书品牌和类型均支持。

仅Globalsign品牌的OV单域名证书支持绑定IP。

多域名

多域名是指一个证书同时绑定多个单域名(主域名、子域名或公网IPv4地址)。如果您的网站拥有多个主域名或子域名,可以选择多域名证书。

说明

通过阿里云申请多域名证书时,最多支持绑定5个单域名。

所有证书品牌的OV和EV证书。

多域名包含公网IPv4地址时,需要确保SSL证书为Globalsign品牌的OV类型证书。

通配符域名

通配符域名是指对应一个主域名及其次级域名的所有子域名。如果您的网站存在很多同级别的子域名,选择通配符域名证书,您仅需购买一张通配符证书即可,而无需为每个子域名单独购买证书。

通配符域名证书匹配域名的规则如下:

  • 通配符域名证书只能匹配同级别的子域名,不能跨级匹配。 例如,*.aliyundoc.com的域名证书匹配demo.aliyundoc.com、learn.aliyundoc.com、example.aliyundoc.com等子域名,但是不匹配guide.demo.aliyundoc.com、developer.demo.aliyundoc.com等域名。

  • 如果通配符域名证书的主域名为一级域名,数字证书管理服务默认赠送主域名。例如,您申请的通配符域名证书为*.aliyundoc.com,则默认赠送主域名aliyundoc.com(Alibaba Cloud品牌除外)。如果您申请的通配符域名为*.demo.aliyundoc.com,则不会赠送demo.aliyundoc.com或aliyundoc.com。

  • 阿里云只支持申请单个通配符域名的证书,不支持申请多通配符域名的证书,即一张证书包含多个通配符域名。如需申请该类型证书,可以通过合并多个相同品牌、类型的证书,生成多通配符证书。具体操作,请参见证书合并申请

所有品牌的DV和OV证书。

混合域名

混合域名证书是指同一张证书中包含多个不同类型的域名。例如,当您需要为同一个证书绑定*.aliyundoc.comdemo.example.com时,则将这种证书称为混合域名证书。阿里云支持通过合并多个相同品牌、类型的证书,生成混合域名证书,您可以在购买证书的时候直接合并签发为混合域名证书,或在后续证书申请时合并签发。具体操作,请参见购买SSL证书证书合并申请

所有品牌的OV证书。

根据验证强度和安全性选择证书类型

阿里云支持购买DV证书、OV证书和EV证书三种类型的SSL证书。不同类型证书的安全性、支持的证书品牌和适用的网站类型不同,具体如下表所示。

证书类型

适用网站类型

公信等级

认证强度

安全性

审核方式及资料

签发时间

支持的证书品牌

DV(域名型)

适用于个人网站、App服务、展示型网站、企业测试或个人测试网站。

说明

如果您的网站主体是个人(即没有企业营业执照),只能申请DV型数字证书。

一般

CA机构审核个人网站真实性、不验证企业真实性

一般

通过DNS验证。仅需提交域名即可。

1~2个工作日,最快10分钟签发

  • DigiCert

  • GlobalSign

  • Alibaba Cloud

OV(企业型)

适用于政府组织、中小型企业或教育机构等。

说明

对于一般企业、移动端网站或接口调用,建议购买OV及以上类型的数字证书。

CA机构审核组织及企业真实性

邮件或电话。需提交验证域名、公司信息、营业执照等。

3~7个工作日

  • DigiCert

  • GlobalSign

EV(企业增强型)

适用于大型企业、金融机构、电商等涉及交易支付和隐私数据的高私密网站。

说明

对于金融、支付类企业,建议购买EV型证书。

最高

严格认证

最高

邮件或电话。需提交验证域名、公司信息、营业执照等。

3~7个工作日

DigiCert

根据证书加密算法选择证书

阿里云SSL证书支持的加密算法为RSA、ECC和国密SM2,如果您的业务对算法的类型和性能有要求,可以参考以下内容选择证书。

  • 国际标准算法:RSA加密算法目前应用广泛的非对称加密算法(通过公钥和私钥来进行数据的安全传输和验证),相较于后来出现的ECC算法,RSA在兼容性和普遍适用性上表现出更强的优势;ECC(椭圆曲线加密)算法相比于RSA,是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。RSA和ECC算法的SSL证书都可用于Web站点、小程序、App等应用场景,但在确保性能、兼容性和满足特性合规要求时,需要进行评估和规划。

    对比项

    RSA

    ECC

    安全性与密钥长度

    长度要求较高。支持的密钥长度为2048位和4096位。

    相对较小的密钥长度即可达到相同安全级别。

    • 256位:相当于RSA 2048位密钥所提供的安全性。

    • 384位:相当于RSA 3072位密钥所提供的安全性。

    性能效率

    加解密速度慢。

    加解密速度快,尤其在有限资源环境下表现更优,例如移动设备、物联网(IoT)设备等。

    内存和CPU占用

    较高。

    较少。

    兼容性

    更广泛兼容现有系统、浏览器和应用程序。

    兼容性较好但相比RSA略逊。

  • 国密标准算法:SM2椭圆曲线公钥密码算法中国国家密码管理局发布的ECC椭圆曲线公钥密码算法,在中国商用密码体系中用来替代RSA算法。SM2算法的SSL证书适用于满足国密合规的用户。

证书品牌

证书类型

密钥长度

签名算法

RSA

ECC

SM2

RSA

ECC

SM2

2048

4096

prime256v1

secp384r1

sm2p256v1

SHA256withRSA

SHA384withRSA

SHA256withECDSA

SHA384withECDSA

SM3withSM2

DigiCert

DV

对

对

错

错

错

对

对

错

错

错

OV

对

对

对

对

错

对

对

对

对

错

EV

对

对

对

对

错

对

对

对

对

错

GlobalSign

DV

对

对

错

错

错

对

对

错

错

错

OV

对

对

对

对

错

对

对

对

对

错

Alibaba Cloud

DV

对

对

错

错

错

对

对

错

错

错

说明

SSL证书签名算法默认采用SHA256withRSASHA256withECDSA,暂不支持在数字证书管理服务控制台选择哈希函数为SHA384的签名算法,如需使用该签名算法签发证书,您需要本地创建CSR文件并将CSR文件上传至控制台。具体操作,请参见如何制作CSR文件上传CSR

根据证书品牌优势选择证书

SSL证书是CA机构(Certificate Authority,证书颁发机构)验证网站或域名信息后签发的,CA市场存在多个知名的品牌,目前国际比较知名的品牌有DigiCert、GeoTrust、GlobalSign等。在选择证书品牌时,您需要考虑品牌支持的证书类型、签名算法类型、密钥长度、域名类型以及价格等因素,并结合自身的业务需求和预算进行综合考量。如果仍不能确认证书品牌,您可以访问产品详情页,进行技术专家评测咨询。

证书品牌

证书认证机构

说明

DigiCert

DigiCert, Inc.

DigiCert(原Symantec)是知名的数字证书颁发机构、值得信赖的SSL证书品牌,所有证书都采用业界先进的加密技术,为不同的网站和服务器提供安全解决方案。

GlobalSignAlibaba Cloud

GMO GlobalSign Pte Ltd.

GlobalSign是较早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的CA和SSL数字证书提供商。相较于其他品牌证书,Alibaba Cloud品牌证书价格更为优惠。

证书品牌价格对比

证书品牌

证书类型

方案价格(/张/年)

单域名

通配符域名

Alibaba Cloud

DV

99美元

199

DigiCert

DV

149美元

629

OV

  • OV SSL:484美元

  • OV_PRO SSL:1,325美元

  • OV SSL:2,309美元

  • OV_PRO SSL:4,717美元

EV

  • EV SSL:1,118美元

  • EV_PRO SSL:1,837美元

不涉及

GlobalSign

DV

249美元

849美元

OV

349美元

949美元

相关文档