Question

如何正确选则SSL证书——技术层面

Answer 1

SSL部署的过程中至关重要的环节是SSL证书（certificate ssl）的申请与配置。 决定购买何种SSL证书，不仅是一个技术问题，更涉及到公司的战略、服务意识、管理等一系列问题。本文将从技术层面对服务器证书的选择进行讨论。 目前市场上的SSL证书中，对于加密位数有个加密位数越高越好的误区，SSL协议涉及到的加密的环节，有两个加密位数，一是证书公钥位数，分为512位、 1024位、2048位，主流的是1024位。一是会话秘钥（对称密钥）位数，分为40位，128位，256位，主流的是128位。公钥算法主要是用来加密会话秘钥，会话秘钥是SSL会话建立之后对会话内容进行加密，会话秘钥的长度和浏览器支持的密钥长度相关，微软的IE系列浏览器，有40位和128位两种，VeriSign SSL证书采用SGC技术，可以实现40位IE浏览器的128位强制加密，其他处于从属地位的浏览器，例如firefox，可以支持 256位会话秘钥。主流的密钥长度在目前的技术水准下，破解的难度相当高，暴力破解需要耗费相当长的时间。而由于SSL会话秘钥是一次性的，且有效期较短，基本不存在被暴力破解的可能性。 加密过程需要消耗服务器资源，在密钥长度增加的同时，会带来更大的性能负载，在主流密钥长度可以提供足够安全的保障前提之下，更长的密钥长度只能带来无效的负载增加。 目前市场上的SSL证书中，对于证书链的长短也有不少争议，有VerSign证书链在美国为二级，在中国为三级，三级证书链验证过程时间长的说法。其实，证书链的长短有多方面的原因，涉及到不同的安全级别、证书颁发策略，不能一概而论。证书链越长当然验证的时间也越长，不过在不超过四级的长度下，性能接近相同。比如，目前的VeriSign扩展验证（EV）SSL证书，就存在两条证书链，一条是三级，适用于IE7等新版本浏览器，一条是四级，适用于windows 2003下的IE6等稍旧版本浏览器。 由根CA直接签发证书的二级结构，需要根证书在签发证书时在线，如果，业务处于饱和状态就要求根证书一直在线，不符合一般CA安全的密钥安全管理原则，也极大的增加了根密钥的安全风险。因此，此类的证书已经不是主流的证书类型。

Answer 2

第一步：统计域名数量

SSL证书从域名数量可以分为单域名、多域名和通配符等类型，保护的域名数量越多，证书的价格也就越贵。因此我们需要先统计保护的域名数量，从而确定选择哪一种类型的SSL证书：

1、保护1个网站域名，选择单域名SSL证书即可;

2、保护没有直接联系的多个域名，选择多域名SSL证书;

3、保护多个域名且是主域名与子域名的关系，则可选择多域名SSL证书或通配符证书。

第二步：确定认证级别

SSL证书有DV、OV和EV三个认证等级，级别从低到高，不同认证等级的SSL证书所需要的申请资料以及特点也是不一样的。所以我们需要根据网站的具体情况来选择合适的SSL证书认证等级。

1、DV SSL证书(域名验证型SSL证书)：只验证域名所有权，快速颁发，但安全级别一般，适合个人站点(如博客、自媒体等)。

2、OV SSL证书(组织验证型SSL证书)：需要验证企业或组织身份信息后颁发，安全性更强，适用于中小企业类网站。

3、EV SSL证书(扩展验证型SSL证书)：安全级别最高的证书，验证审核也最严格，安装了EV

SSL证书的网站浏览器地址栏变成绿色，并显示企业名称，一般应用于金融、电商、银行等安全需求较高的网站。

第三步：选择证书品牌

SSL证书是由受信任的数字证书颁发机构CA颁发的，目前全球有多家CA机构，比如安信证书合作的就有Comodo、Symantec、Geotrust、Thawte以及RapidSSL等知名CA机构。不同的SSL证书品牌有各自优势，比如Comodo就是以性价比高的特点深受全球用户欢迎。这里小编建议大家一定要选择靠谱的CA机构。

通过以上几步，大家应该都能根据自己的需求选择合适的SSL证书。如果不知道如何选择的可以联系安信SSL证书，我们专业提供SSL证书一站式申请安装服务!

Answer 3

您好！
一、选择SSL证书，登陆：Gworg，根据SSL选购导航，确定类型。
二、确定签发机构，Gworg机构拥有多个SSL证书品牌，每个品牌存在不同的优点，具体可以与Gworg确定，根据实际的实际情况与预算来确定。
三、个人：使用DV证书。 公司、电子商务、支付平台：使用OV证书 。大型网站：EV证书。
四、如果一级域名旗下有多个二级域名，请选择通配符（泛域名）证书。
五、存在多个不同的一级域名，请选择多域名证书。

Answer 4

如何选择沃通SSL证书？
1、确定网站类型
2、确定域名数量及类型
3、确定加密强度
强制128/256位加密：涉及资金交易、机密信息传输等对安全性能要求高的网站，请选择支持强制128/256位加密的SSL证书，规避部分用户未升级浏览器导致加密位数较低而产生的安全风险。
自适应加密：网站根据自身需求和风险评估，可选择价格实惠的自适应加密服务器SSL证书。涉及资金交易、机密数据传输等重要数据的网站不建议使用。
4、确定签名算法
SHA1： SHA1算法是目前使用最广泛的签名算法，但SHA1算法已经存在被破解的可能性。微软根据NIST的安全指引，要求受信任的CA机构于2016年1月1日起全面停止签发SHA1证书。
SHA2：更安全但不支持Windows XP。SHA2签名算法比SHA1更安全，将逐步替代SHA1成为主流签名算法。但目前仍有Windows XP系统不支持SHA2签名算法（不支持windows xp sp2 及以下环境），需打补丁SP3升级后才能支持。
2016年1月1日前，用户可在购买过程中根据自己的实际应用需求，自主选择签发SHA1证书或SHA2证书；2016年1月1日后，仅支持签发SHA2证书。

Answer 5

根据证书的安全等级选择：
域名型DV SSL证书
表现形式：地址栏显示安全锁+https适用于中小型企业官网、中小型商务网站、电子邮局服务器、个人网站等，10分钟左右就可完成域名验证和快速颁发证书，无需递交纸质文件，仅验证域名管理权，无需人工验证申请单位真实身份，快速签发、价格低廉。
根据域名数量进行选择
1、如果只有一个域名，可以选择单域名型SSL证书。大多数个人网站可以选择这种类型。
2、如果拥有多个域名的网站，可以选择多域名SSL证书，可以在一张证书上保护多个域名，不仅在管理上方便很多，价格上也实惠。
3、还有一种通配符证书，适用于保护一个域名下同一级所有子域名，不限个数。

根据网站的类别选择合适的SSL证书
1、对于个人网站、自媒体或一些中小型企业网站等，需要对数据进行加密传输，可以选择域名型SSL证书（DV），可以保证网站的信息从用户浏览器到服务器之间的传输是高强度加密传输的，是不会被窃取和篡改的。该类型证书只需要验证域名管理权，颁发速度快，10分钟左右就能颁发，价格经济实惠。会在地址栏显示HTTPS和安全挂锁。缺点在于只显示网站域名，不显示申请单位名称。
2、对于一些企业网站或电子商务网站等，可以选择企业型SSL证书（OV）或增强型SSL证书（EV）。这两种类型的证书除了验证域名管理权限外，还需要验证网站企业的身份， 确认申请单位是一个合法存在的真实实体。除了能保证对数据进行高强度加密传输外， 还能在证书中体现公司真实身份。而对于更高级别的EVSSL证书，还能直接在地址栏绿色显示公司名称，从而有效提升在线交易量和企业形象。
3、对于银行等金融类网站，由于涉及到财务安全，极容易成为不法分子的目标，因此建议选择目前安全级别最高的EVSSL证书。从而有效防止被钓鱼网站仿冒，避免客户及网站受损失。