阿里云数字证书管理服务提供多种SSL证书类型和品牌,适用于不同规模的网站,包括但不限于电商、小型企业、大型企业或个人等。此外,还提供通配符证书、多域名证书和混合域名证书,以满足不同业务需求,如保护多个子域名或多个不同的域名。您可以根据网站的规模、业务需求和预算,参考本文选择最适合的证书来保障网站的安全。
选购示例
在选择SSL证书前,您需要考虑保护的域名数量、证书安全等级、证书加密算法与客户端或服务端兼容性、证书加密算法的性能以及合规场景等因素。
个人用户:如果您是个人用户且搭建了自己的个人博客或个人测试网站,且网站无数据传输业务,仅用来展示纯信息或内容,您可以参考下表选购SSL证书。
考虑因素
业务特征
推荐
确定保护的域名数量
仅保护1个网站1个域名
选择单域名证书,即一张SSL证书保护一个域名。
确定验证强度和安全等级
验证流程简单快速,安全等级一般即可
选择DV证书,只验证域名真实性,签发最快10分钟。
确定SSL加密算法
没有强加密要求,兼容主流浏览器即可
选择RSA算法,兼容几乎所有浏览器。
确定SSL证书品牌和预算
有保障且价格低
选择DigiCert品牌,价格最低。
企业用户:如果您是企业用户,请您访问产品详情页,咨询技术专家。
选购详情说明
根据网站域名数量选择域名类型
SSL证书是通过绑定域名或IP使用的,因此您可以按照SSL证书所保护的域名数量选购SSL证书。阿里云SSL证书支持申请单域名、多域名、通配符域名(泛域名)和混合域名证书。下表为您介绍不同域名类型的区别以及选购说明。
域名类型 | 选购说明 | 支持证书品牌和证书类型 |
单域名 | 单域名是指一个证书只能保护一个主域名、一个子域名或一个公网IP(IPv4)。例如,www.aliyundoc.com。如果您有一个网站或者小程序,且只有一个域名或IP,单域名SSL证书是最佳选择。 | 所有证书品牌和类型均支持。 仅Globalsign品牌的OV单域名证书支持绑定IP。 |
多域名 | 多域名是指一个证书同时绑定多个单域名(主域名、子域名或公网IPv4地址)。如果您的网站拥有多个主域名或子域名,可以选择多域名证书。 说明 通过阿里云申请多域名证书时,最多支持绑定5个单域名。 | 所有证书品牌的OV和EV证书。 多域名包含公网IPv4地址时,需要确保SSL证书为Globalsign品牌的OV类型证书。 |
通配符域名 | 通配符域名是指对应一个主域名及其次级域名的所有子域名。如果您的网站存在很多同级别的子域名,选择通配符域名证书,您仅需购买一张通配符证书即可,而无需为每个子域名单独购买证书。 通配符域名证书匹配域名的规则如下:
| 所有品牌的DV和OV证书。 |
混合域名 | 混合域名证书是指同一张证书中包含多个不同类型的域名。例如,当您需要为同一个证书绑定 | 所有品牌的OV证书。 |
根据验证强度和安全性选择证书类型
阿里云支持购买DV证书、OV证书和EV证书三种类型的SSL证书。不同类型证书的安全性、支持的证书品牌和适用的网站类型不同,具体如下表所示。
证书类型 | 适用网站类型 | 公信等级 | 认证强度 | 安全性 | 审核方式及资料 | 签发时间 | 支持的证书品牌 |
DV(域名型) | 适用于个人网站、App服务、展示型网站、企业测试或个人测试网站。 说明 如果您的网站主体是个人(即没有企业营业执照),只能申请DV型数字证书。 | 一般 | CA机构审核个人网站真实性、不验证企业真实性 | 一般 | 通过DNS验证。仅需提交域名即可。 | 1~2个工作日,最快10分钟签发 |
|
OV(企业型) | 适用于政府组织、中小型企业或教育机构等。 说明 对于一般企业、移动端网站或接口调用,建议购买OV及以上类型的数字证书。 | 高 | CA机构审核组织及企业真实性 | 高 | 邮件或电话。需提交验证域名、公司信息、营业执照等。 | 3~7个工作日 |
|
EV(企业增强型) | 适用于大型企业、金融机构、电商等涉及交易支付和隐私数据的高私密网站。 说明 对于金融、支付类企业,建议购买EV型证书。 | 最高 | 严格认证 | 最高 | 邮件或电话。需提交验证域名、公司信息、营业执照等。 | 3~7个工作日 | DigiCert |
根据证书加密算法选择证书
阿里云SSL证书支持的加密算法为RSA、ECC和国密SM2,如果您的业务对算法的类型和性能有要求,可以参考以下内容选择证书。
国际标准算法:RSA加密算法目前应用广泛的非对称加密算法(通过公钥和私钥来进行数据的安全传输和验证),相较于后来出现的ECC算法,RSA在兼容性和普遍适用性上表现出更强的优势;ECC(椭圆曲线加密)算法相比于RSA,是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。RSA和ECC算法的SSL证书都可用于Web站点、小程序、App等应用场景,但在确保性能、兼容性和满足特性合规要求时,需要进行评估和规划。
对比项
RSA
ECC
安全性与密钥长度
长度要求较高。支持的密钥长度为2048位和4096位。
相对较小的密钥长度即可达到相同安全级别。
256位:相当于RSA 2048位密钥所提供的安全性。
384位:相当于RSA 3072位密钥所提供的安全性。
性能效率
加解密速度慢。
加解密速度快,尤其在有限资源环境下表现更优,例如移动设备、物联网(IoT)设备等。
内存和CPU占用
较高。
较少。
兼容性
更广泛兼容现有系统、浏览器和应用程序。
兼容性较好但相比RSA略逊。
国密标准算法:SM2椭圆曲线公钥密码算法是中国国家密码管理局发布的ECC椭圆曲线公钥密码算法,在中国商用密码体系中用来替代RSA算法。SM2算法的SSL证书适用于满足国密合规的用户。
证书品牌 | 证书类型 | 密钥长度 | 签名算法 | ||||||||
RSA | ECC | SM2 | RSA | ECC | SM2 | ||||||
2048 | 4096 | prime256v1 | secp384r1 | sm2p256v1 | SHA256withRSA | SHA384withRSA | SHA256withECDSA | SHA384withECDSA | SM3withSM2 | ||
DigiCert | DV |
|
|
|
|
|
|
|
|
|
|
OV |
|
|
|
|
|
|
|
|
|
| |
EV |
|
|
|
|
|
|
|
|
|
| |
GlobalSign | DV |
|
|
|
|
|
|
|
|
|
|
OV |
|
|
|
|
|
|
|
|
|
| |
Alibaba Cloud | DV |
|
|
|
|
|
|
|
|
|
|
根据证书品牌优势选择证书
SSL证书是CA机构(Certificate Authority,证书颁发机构)验证网站或域名信息后签发的,CA市场存在多个知名的品牌,目前国际比较知名的品牌有DigiCert、GeoTrust、GlobalSign等。在选择证书品牌时,您需要考虑品牌支持的证书类型、签名算法类型、密钥长度、域名类型以及价格等因素,并结合自身的业务需求和预算进行综合考量。如果仍不能确认证书品牌,您可以访问产品详情页,进行技术专家评测咨询。
证书品牌 | 证书认证机构 | 说明 |
DigiCert | DigiCert, Inc. | DigiCert(原Symantec)是知名的数字证书颁发机构、值得信赖的SSL证书品牌,所有证书都采用业界先进的加密技术,为不同的网站和服务器提供安全解决方案。 |
GlobalSign、Alibaba Cloud | GMO GlobalSign Pte Ltd. | GlobalSign是较早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的CA和SSL数字证书提供商。相较于其他品牌证书,Alibaba Cloud品牌证书价格更为优惠。 |
证书品牌价格对比
证书品牌 | 证书类型 | 方案价格(/张/年) | |
单域名 | 通配符域名 | ||
Alibaba Cloud | DV | 99美元 | 199 |
DigiCert | DV | 149美元 | 629 |
OV |
|
| |
EV |
| 不涉及 | |
GlobalSign | DV | 249美元 | 849美元 |
OV | 349美元 | 949美元 | |