最新消息:20210917 已从crifan.com换到crifan.org

【整理】https证书 SSL证书基本知识

证书 crifan 557浏览 0评论
折腾:
【未解决】购买阿里云首年免费的https证书:Symantec免费型DV SSL证书
之前,先去整理一下基本知识。
参考:
步骤1:选配证书_快速入门_SSL证书-阿里云
“选择证书品牌(CA供应商)
目前,支持阿里云颁发数字证书的安全CA中心包括:
Symantec:赛门铁克(Symantec)是全球第一大数字证书颁发机构、全球最值得信赖的SSL证书品牌,所有证书都采用业界领先的加密技术,为不同的网站和服务器提供安全解决方案。
CFCA: 中国金融认证中心(CFCA)通过国际WebTrust认证,遵循全球统一鉴证标准,是国际CA浏览器联盟组织成员。CFCA全球信任SSL证书,由中国权威数字证书认证机构自主研发,纯国产证书。CFCA提供 7×24 小时金融级的安全保障服务,且有完善的风险承保计划。提供中文版全球信任体系电子认证业务规则(CPS),便于用户理解双方权利和义务。
说明
CFCA服务器证书目前不支持苹果 iOS 10.1 及 10.1 以前的版本,不支持安卓 6.0 及以前的版本。
GeoTrust: GeoTrust 是全球第二大数字证书颁发机构, 也是身份认证和信任认证领域的领导者,采用各种先进的技术使任何大小的机构和公司都能安全、低成本地部署SSL数字证书和实现各种身份认证。
GlobalSign: GMO GlobalSign是全球最早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的CA和SSL数字证书提供商。
选择证书类型
阿里云联合有资质的CA中心推荐以下几种数字证书配置组合方案:
说明
不同品牌(CA供应商)提供的证书类型可能不同,例如GlobalSign目前仅提供专业版OV型证书。
免费型DV SSL: 免费型DV SSL证书是基础级SSL产品。
说明
目前仅Symantec提供免费型数字证书,该证书仅支持绑定一个域名。
只验证域名所有权,数小时内即可颁发。
只提供通信链路加密功能。
根证书一般使用CA中心认证的根证书。
支持绑定一个明细子域名,且不支持通配符域名。
通配符DV SSL:通配符DV SSL证书属于DV型SSL证书(Domain Validation SSL)。
只验证域名所有权,数小时内即可颁发。
提供高强度通信链路加密功能。
支持绑定一个带有通配符的域名。
专业版OV SSL: 专业版OV SSL证书属于OV型SSL证书(Organization Validation SSL)。
验证域名所有权和申请单位的真实身份,解决在线信任问题。
证书中显示申请者的企业单位名称,让访问用户安心使用。
提供高强度通信链路加密功能。
支持最多绑定100个域名,支持绑定通配符域名。
说明
除专业版OV SSL证书外,Symantec还提供增强型OV SSL证书。增强型OV SSL证书采用ECC椭圆曲线算法。
高级版EV SSL:高级版EV SSL证书属于EV型SSL证书(Extended Validation SSL)。
严格验证域名所有权和申请单位的真实身份。
证书在大部分浏览器中能显示绿色地址栏(部分证书在Safari浏览器中不显示),有效解决在线信任和网站被假冒问题。
证书中详细显示申请者的企业单位信息,让访问用户安心使用。
提供高强度通信链路加密功能。
支持最多绑定100个域名。
说明
除高级版EV SSL证书外,Symantec还提供增强型EV SSL证书。增强型EV SSL证书采用ECC椭圆曲线算法。 
选择保护域名类型和个数
您在购买数字证书前,需要先规划好您需要保护什么样类型的域名和需要保护的域名个数,您可以选择保护一个、多个、或通配符域名。
1 个域名:您的数字证书只可以保护一个域名,且不支持通配符。例如,buy.example.com
多个域名: 您的数字证书可以保护多个域名,根据证书种类不同有数量限制。一般数量上限为100个,您可根据域名个数进行选择,不支持通配符。例如,buy1.example.combuy2.example.com
通配符域名:您的数字证书可以保护一个带通配符的泛域名(暂不支持购买多个通配符子域名型证书)。例如,申请*.example.com,可以保护a1.example.coma2.example.com等域名,但不能保护 a1.sport.example.coma2.thanks.example.com之类的域名。
说明
在后续填写域名资料时,阿里云会对您选择的域名数量和类型的进行校验。如果您选择保护多个域名,您需要一次性提交全部域名。
选择证书有效期
您所选择数字证书的有效期年限。数字证书的有效期是在审核通过后开始计算,支持选择一年或两年。
说明
免费版DV SSL证书限定最高申请年限为一年。 “
“证书的类型根据认证的级别可以分为以下三种
  • 域名认证(Domain Validation):最低级别认证,可以确认申请人拥有这个域名。对于这种证书,浏览器会在地址栏显示一把锁。
  • 公司认证(Company Validation):确认域名所有人是哪一家公司,证书里面会包含公司信息。
  • 扩展认证(Extended Validation):最高级别的认证,浏览器地址栏会显示公司名。
根据覆盖的范围又可以分为以下三种
https证书 EV
EV SSL证书-扩展验证型SSL证书,显示绿色地址栏-沃通ev ssl证书.
– 数字证书商店
【SSL】OV、DV和EV证书的区别 – 小雨同学的技术博客 – CSDN博客
HTTPS证书:DV、OV和EV证书的区别-wqh-51CTO博客
HTTPS 小白知识(一) | ZRONG’s Blog
如何吊销 CNNIC 根证书 | 轻单
Chrome 56/57 内核对 WoSign、StartCom 证书限制周知 | 微信开放社区
【总结】
  • https证书提供商:
    • 本来是很多厂家:
      • Symantec=赛门铁克 / Digicert:
        • 全球第一大数字证书颁发机构、全球最值得信赖的SSL证书品牌,所有证书都采用业界领先的加密技术,为不同的网站和服务器提供安全解决方案
        • 说明:Digicert 于 2017年12月1日 并购了Symantec证书服务部分
          • 所有新申请的 Symantec/GeoTrust 品牌证书,切换到 Digicert+Symantec 交叉认证 PKI 体系下签发
      • CFCA=中国金融认证中心
        • 通过国际WebTrust认证,遵循全球统一鉴证标准,是国际CA浏览器联盟组织成员。CFCA全球信任SSL证书,由中国权威数字证书认证机构自主研发,纯国产证书。提供中文版全球信任体系电子认证业务规则(CPS),便于用户理解双方权利和义务。
        • 特殊说明:
          • CFCA服务器证书目前不支持苹果 iOS 10.1 及 10.1 以前的版本,不支持安卓 6.0 及以前的版本。
      • GeoTrust
        • 全球第二大数字证书颁发机构, 也是身份认证和信任认证领域的领导者,采用各种先进的技术使任何大小的机构和公司都能安全、低成本地部署SSL数字证书和实现各种身份认证。
      • GlobalSign=GMO GlobalSign
        • 全球最早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的CA和SSL数字证书提供商。
      • 其他一些:
        • Let’s Encrypt:
          • 特点:
            • 免费提供https证书
            • 常用于各种中小型网站上面
          • 优点:免费
          • 缺点:流量器的内置根证书列表中没有Let’s Encrypt
            • 导致移动端中不支持小程序?
        • 不靠谱的:
          • 沃通 (WoSign) / StartCom
            • WoSign之前有不当行为,导致:Chrome,Mozilla等停止信任WoSign证书
            • 注:
              • 沃通与2015 年 8 月100%收购了StartCom
              • StartSSL.com 是 StartCom 的网站
              • 奇虎 360 持有沃通 84% 的股份
          • CNNIC=中国互联网络信息中心
            • CNNIC 的根证书都已经被各大浏览器和操作系统吊销
            • 连它自己的网站都在使用 DigiCert 颁发的证书。
    • 阿里云:阿里云做了一站式整合
      • 阿里云提供了整合了很多家的https服务,可以直接在阿里云中直接买各家的https证书
  • 证书类型
    • 域名型=最基础的DV=DV SSL=Domain Validation SSL=域名验证SSL
      • 特点:
        • 简易型(Class 1级)SSL证书
        • 只验证域名所有权,数小时内即可颁发。
        • 根证书一般使用CA中心认证的根证书。
      • 常见使用对象:
        • 博客,论坛等对信息安全要去不严格的个人网站
      • 类型:
        • 免费型
          • 支持绑定一个明细子域名,且不支持通配符域名。
          • 只提供通信链路加密功能。
          • 价格:
            • 提示:阿里云目前有个优惠:Symantec的DV首年免费
        • 通配符型
          • 支持绑定一个带有通配符的域名。
            • 支持*.example.com
          • 提供高强度通信链路加密功能。
    • 组织型=OV SSL=Organization Validation SSL=组织验证SSL
      • 特点:
        • 验证域名所有权和申请单位的真实身份
          • 需要提交企业营业执照、组织机构代码证等材料
          • -》知道是谁申请的证书
        • 提供高强度通信链路加密功能。
        • 支持最多绑定100个域名,支持绑定通配符域名。
      • 常见使用对象:
        • 行政、企业、科研、邮箱、论坛等大中型网站
      • 价格:
        • 单个域名:大约 4000元/年
        • 通配符域名:大约 10000元/年
        • 不同的OV类型价格又不同:
          • 专业版OV SSL:8000元+/年
          • 增强型OV SSL:14000元+/年
    • 增强型=EV SSL=Extended Validation SSL=扩展验证型SSL 证书
      • 特点:
        • (Class 4级)SSL证书
        • 业界最高安全级别的SSL证书
          • 部署了EV SSL证书的网站,不仅浏览器地址栏会显示安全锁标志,而且浏览器地址栏会变成绿色
        • EV 证书价格较为昂贵
        • 需要 CA 机构人工验证组织和电话信息
          • 需要提交企业营业执照、组织机构代码证等材料
          • 还需要律师函的审核
        • 签发时间在 1 – 5 个工作日不等
      • 常见使用对象:
        • 银行、保险、金融机构、电子商务网站、大型企业等对安全需求较高的网站
      • 类型:
        • 高级版 EV SSL:14000元+/年
        • 增强型 EV SSL: 21000元+/年
证书举例:
DV、OV在地址栏的显示 EV在地址栏的显示 举例:
另外:
基础能力 · 小程序
说了:
小程序对于https证书的要求:
小程序必须使用 HTTPS/WSS 发起网络请求。请求时系统会对服务器域名使用的 HTTPS 证书进行校验,如果校验失败,则请求不能成功发起。由于系统限制,不同平台对于证书要求的严格程度不同。为了保证小程序的兼容性,建议开发者按照最高标准进行证书配置,并使用相关工具检查现有证书是否符合要求。
对证书要求如下:
  • HTTPS 证书必须有效;
    • 证书必须被系统信任,即根证书被已系统内置
    • 部署 SSL 证书的网站域名必须与证书颁发的域名一致
    • 证书必须在有效期内
    • 证书的信任链必需完整(需要服务器配置)
  • iOS 不支持自签名证书;
  • iOS下证书必须满足苹果 App Transport Security (ATS) 的要求;
  • TLS 必须支持 1.2 及以上版本。部分旧 Android 机型还未支持 TLS 1.2,请确保 HTTPS 服务器的 TLS 版本支持 1.2 及以下版本;
  • 部分 CA 可能不被操作系统信任,请开发者在选择证书时注意小程序和各系统的相关通告。
证书有效性可以使用 openssl s_client -connect example.com:443 命令验证,也可以使用其他在线工具

转载请注明:在路上 » 【整理】https证书 SSL证书基本知识

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
90 queries in 0.194 seconds, using 23.44MB memory