数字证书管理服务提供了多种类型和品牌的通配符证书、多域名证书和混合域名证书,适用于不同域名类型和规模的网站。您可参考本文选择最适合的SSL证书。
快速选型
影响SSL证书选型的因素较多,如购买预算、域名类型和数量、加密安全等级、加密算法、兼容性等。
个人用户选型示例
如果您自己搭建了一个个人网站或博客,无数据传输需求,仅用于展示网站内容,可以参考下方表格,选择合适的SSL证书。
考虑因素 | 业务特征 | 推荐选型 |
域名类型和数量 | 仅需绑定1个域名(您只有1个网站和一个单域名) | 选择单域名证书,即一张SSL证书对应保护一个域名。 |
验证强度、安全等级 | 证书签发验证流程简单快速,但安全等级一般 | 选择DV证书,CA机构仅验证域名的真实性,最快10分钟即可签发。 |
证书加密算法 | 无特殊加密需求,只需兼容主流浏览器 | 选择RSA算法,几乎兼容所有的浏览器。 |
证书品牌、预算 | 有保障、价格低 | 选择Alibaba Cloud品牌,价格较低。 |
企业用户选型示例
如果您是企业用户,请访问产品详情页,咨询技术专家。
按场景选型
证书价格
SSL证书的价格和证书类型、品牌等因素有关。
各证书品牌价格总览
下表展示了各品牌SSL证书的单域名、通配符域名、多域名的售卖价格,请根据实际需求和预算选购。
证书零售价格仅供参考,实际证书价格请以证书服务购买页为准。
证书品牌 | 证书类型 | 域名类型 | 价格(美元/张/年) | 备注 |
Alibaba Cloud | DV | 单域名 | 99 | / |
通配符域名 | 199 | / | ||
GeoTrust | OV | 单域名 | 324 | / |
通配符域名 | 1020 | / | ||
Rapid | DV | 单域名 | 66 | / |
通配符域名 | 263 | / | ||
DigiCert | DV | 单域名 | 149 | / |
通配符域名 | 629 | / | ||
OV | 单域名 |
| / | |
通配符域名 |
| / | ||
EV | 单域名 |
| / | |
GlobalSign | DV | 单域名 | 249 | / |
通配符域名 | 849 | / | ||
OV | 单域名 | 349 | / | |
通配符域名 | 949 | / | ||
多域名 | 749 | 默认包含5个单域名。 |
网站的域名种类、数量
SSL证书需配合绑定域名或IP才能生效,您的网站绑定的域名类型和数量,直接决定了您需要申请何种类型、多少张SSL证书。阿里云支持申请单域名、多域名、通配符域名(泛域名)和混合域名证书。下表为您介绍不同域名类型的区别以及与证书相关的说明。
域名类型 | 选型说明 | 注意事项 |
单域名 | 一张证书只能绑定一个域名。 | 支持申请DV、OV和EV证书。 |
IP | 一张证书只能绑定一个IP。 | 仅GlobalSign、DigiCert品牌的OV单域名类型证书支持绑定IP。 |
多域名 | 一张证书同时绑定多个单域名(主域名、子域名或公网IPv4地址)。如果您的网站拥有多个主域名或子域名,可以选择多域名证书。 说明 通过阿里云申请多域名证书时,最多支持包含5个单域名。 | 多域名包含公网IPv4地址时,需要确保SSL证书为GlobalSign、DigiCert品牌的OV单域名类型证书。 |
通配符域名 | 通配符域名指主域名及其所有次级子域名。如果您的网站主域名下有多个次级子域名,仅需购买一张通配符证书即可。 通配符域名的匹配规则如下:
| 仅支持申请DV和OV证书。 |
混合域名 | 指同一张证书中包含多种类型的域名。例如,当您需要为一个证书同时绑定 |
|
证书购买成功后,如果符合购买正式证书,阿里云会默认赠送对应域名。
验证强度和安全性
SSL证书按照安全性、加密等级和审核方式的不同,可以分为:DV(域名型)、OV(企业型)、EV(企业增强型)三种类型,不同类型的SSL证书在安全性、支持品牌、适用网站类型等方面均有较大差异。
证书类型 | 适用网站类型 | 公信等级 | 认证强度 | 安全性 | 审核方式及资料 | 平均签发时长 |
DV(域名型) | 个人网站、App服务、企业测试。 说明 没有企业营业执照的个人网站,只能申请DV型数字证书。 | 一般 | 一般,CA机构仅审核个人网站真实性。 | 一般 | DNS验证。 | 1~15分钟 |
OV(企业型) | 政府组织、中小型企业或教育机构等。 说明 建议购买OV及以上类型的数字证书。 | 高 | 高,CA机构审核组织及企业真实性。 | 高 | 邮件或电话。需提交验证域名、公司信息、营业执照等。 | 5个自然日 |
EV(企业增强型) | 大型企业、金融机构、电商等涉及交易支付和隐私数据的高私密网站。 说明 建议购买EV型证书。 | 最高 | 最高,严格认证。 | 最高 | 邮件或电话。需提交验证域名、公司信息、营业执照等。 | 5个自然日 |
证书加密算法
SSL证书常用的加密算法有RSA、ECC等,不同加密算法在安全等级、性能效率、兼容性、应用场景上均有差异。阿里云SSL证书支持的加密算法为RSA、ECC,如果您的业务对算法的类型和性能有要求,可以参考以下内容选择证书。
RSA:一种广泛应用的非对称加密算法,在兼容性和普遍适用性上表现最好。
ECC(椭圆曲线加密算法):晚于RSA出现,和RSA相比更先进、更安全,且加密速度快、效率更高、资源消耗更低,已在主流浏览器中得到推广。
RSA和ECC算法的SSL证书都可用于Web站点、小程序、App等应用场景,但在确保性能、兼容性和满足特性合规要求时,需要进行评估和规划。
对比项 | RSA算法 | ECC算法 |
安全性与密钥长度 | 长度要求较高。支持的密钥长度为2048位和4096位。 | 相对较小的密钥长度即可达到相同安全级别。
|
性能效率/加解密速度 | 慢。 | 快。尤其在有限资源环境下表现更优,例如移动设备、物联网(IoT)设备等。 |
内存和CPU占用 | 高。 | 低。 |
兼容性 | 好。 | 较好,稍逊于RSA。 |
各品牌和类型的SSL证书的算法支持情况如下:
证书品牌 | 证书类型 | RSA | ECC | ||||||
签名算法 | 密钥长度 | 签名算法 | 密钥长度 | ||||||
SHA256withRSA | SHA384withRSA | 2048 | 4096 | SHA256withECDSA | SHA384withECDSA | prime256v1 | secp384r1 | ||
DigiCert | DV | ||||||||
OV | |||||||||
EV | |||||||||
GeoTrust | OV | ||||||||
EV | |||||||||
GlobalSign | DV | ||||||||
OV | |||||||||
Rapid | DV | ||||||||
Alibaba Cloud | DV | ||||||||
证书品牌
证书品牌一般不作为首次选型的首要考虑因素,只有当您续费证书或希望在新业务中继续使用相同品牌的证书时,可以考虑优先确定证书品牌减少干扰项,购买同品牌、同规格的证书。
目前国际比较知名的品牌有DigiCert、GlobalSign等。在选择证书品牌时,您需要考虑品牌支持的证书类型、签名算法类型、密钥长度、域名类型以及价格等因素,并结合自身的业务需求和预算进行综合考量。
如果仍不能确认证书品牌,您可以访问产品详情页,进行技术专家评测咨询。
证书品牌 | 证书认证机构 | 说明 |
DigiCert | DigiCert, Inc. | DigiCert(原Symantec)是知名的数字证书颁发机构、值得信赖的SSL证书品牌,所有证书都采用业界先进的加密技术,为不同的网站和服务器提供安全解决方案。 |
Rapid | Rapid 是 DigiCert 旗下的入门级 SSL 证书品牌,专注于提供快速签发、高性价比的域名验证型(DV)证书,适用于个人网站和小型企业的基础加密需求。 | |
GlobalSign、Alibaba Cloud | GMO GlobalSign Pte Ltd. | GlobalSign是较早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的CA和SSL数字证书提供商。相较于其他品牌证书,Alibaba Cloud品牌证书价格更为优惠。 |