恭喜你踏入第一步,因为你看到了这个文档,让你的思路更为清晰,首先我们必须要知道SSL证书是数字证书的一种,他的价值除了浏览器兼容性就是保障保额。
SSL证书价值
没错浏览器兼容性放到首位,这是因为SSL证书是安装到网站或者需要使用的https协议的域名,我们需要确保使用各种版本的浏览器及系统可以访问我们的网址,目前浏览器及历史版本兼容性达到99%机构国内还没有,只能选择国际机构:DigiCert(GeoTrust),GlobalSign、Sectigo、Certum前面2个机构支持国产化。
保障保额是标配,但同样很重要,如果访问者信息泄露导致财产损失可以要求CA索赔,虽然没有这个案例,但这是SSL证书很多人遗忘的参数,因为SSL证书有的价格高,也再次有很大的关系,目前国内很多非原厂套牌SSL证书提供商会虚标。
SSL证书验证
SSL证书你可以分为3个认证大类:DV、OV、EV(安全性相同,他们本质上不区分个人或企业,OV、EV仅对申请者实名)
如果你是一个中小型企业或者基层事业单位或者机关单位,网站或者小程序使用等系统使用只需要选择DV类型就可以满足你的要求,同样他也符合等保认证。
无论你使用哪种认证类型证书,他们的根证书来自相同的CA机构,你考虑的是兼容性,可以不在意这边证书是DV还是OV。
EV类型不建议选择,当初的设计是因为使用EV认证后浏览器会显示单位全称,但疏忽大意了,目前的浏览器已经关闭了这样功能,导致EV和OV相同,在肉眼上看甚至EV、OV和DV一样的结果。
SSL证书算法
但你需要注意的任何一本SSL证书加密算法、加密位数行业都有标准,通常申请SSL证书采用的是RSA算法、哈希签名算法SHA256、加密位数2028,这是因为RSA算法兼容性最高,正因如此全球绝大数网站都是该参数,少部分人使用ECC算法。
当然你在申请之前也要求修改更高的加密位数,也可以选择算法类型:RSA、ECC两种加密算法其中之一,这一点自签名的非正式SSL证书也可以做到。
算法问题,如果你希望你的项目让大家访问,请不要选择国密算法比如SMR2,该算法仅支持国密开发的浏览器使用,生活中人们常用的浏览器均无法访问。
SSL证书类型
申请SSL证书我们必须要确定域名数量,这直接影响到SSL证书类型。
如果仅有一条子域名或者一条主域名选择:单域名SSL证书
主域名及下一级子域名都需要保护选择:通配符SSL证书(泛域名SSL证书)
很多没有规律的域名使用多域名SSL证书。
注意
SSL证书纯国产证书仅有CFCA,但满足99%兼容性及历史浏览器信任,在国内没有,其它证书都需要使用国外的根证书做交叉链,有的干脆直接套牌发布一些非原厂SSL证书,因为监管漏洞这类产品在国内非常多。
关于认证数据不出国,只需考虑CA机构采用什么方式认证,如果是不见面并且不需要提供纸质或者相关资质的扫描文件的,只是电话核对身份的,这种情况下无论是国内还是国外机构都可以选择。
关于谣言
最近有一些商家用一些图片文字发布谣言,这里再次提一下网信办没有规定一定要国产SSL证书,更没有规定一定要使用国密证书,如果是机关单位选择SSL证书,选择原封原装的SSL证书,然后选择DV类型的就可以了,这种证书不用担心数据是否出国,因为不存在这些问题,如果选择OV选择支持电话认证或者管理者邮箱认证就可以了。
如果选择OV,但第三方平台没有电话的,自己去国内的第三方平台免费登记一下就可以了。
财经自媒体联盟
第一财经日报 
每日经济新闻 
贝壳财经视频 
尺度商业 
财联社APP 
量子位 
财经网 
华商韬略 
4000520066 欢迎批评指正
All Rights Reserved 新浪公司 版权所有
