如何正确选则SSL证书——技术层面

Posted 2023-05-07

SSL部署的过程中至关重要的环节是SSL证书（certificate ssl）的申请与配置。 决定购买何种SSL证书，不仅是一个技术问题，更涉及到公司的战略、服务意识、管理等一系列问题。本文将从技术层面对服务器证书的选择进行讨论。目前市场上的SSL证书中，对于加密位数有个加密位数越高越好的误区，SSL协议涉及到的加密的环节，有两个加密位数，一是证书公钥位数，分为512位、 1024位、2048位，主流的是1024位。一是会话秘钥（对称密钥）位数，分为40位，128位，256位，主流的是128位。公钥算法主要是用来加密会话秘钥，会话秘钥是SSL会话建立之后对会话内容进行加密，会话秘钥的长度和浏览器支持的密钥长度相关，微软的IE系列浏览器，有40位和128位两种，VeriSign SSL证书采用SGC技术，可以实现40位IE浏览器的128位强制加密，其他处于从属地位的浏览器，例如firefox，可以支持 256位会话秘钥。主流的密钥长度在目前的技术水准下，破解的难度相当高，暴力破解需要耗费相当长的时间。而由于SSL会话秘钥是一次性的，且有效期较短，基本不存在被暴力破解的可能性。 加密过程需要消耗服务器资源，在密钥长度增加的同时，会带来更大的性能负载，在主流密钥长度可以提供足够安全的保障前提之下，更长的密钥长度只能带来无效的负载增加。目前市场上的SSL证书中，对于证书链的长短也有不少争议，有VerSign证书链在美国为二级，在中国为三级，三级证书链验证过程时间长的说法。其实，证书链的长短有多方面的原因，涉及到不同的安全级别、证书颁发策略，不能一概而论。证书链越长当然验证的时间也越长，不过在不超过四级的长度下，性能接近相同。比如，目前的VeriSign扩展验证（EV）SSL证书，就存在两条证书链，一条是三级，适用于IE7等新版本浏览器，一条是四级，适用于windows 2003下的IE6等稍旧版本浏览器。 由根CA直接签发证书的二级结构，需要根证书在签发证书时在线，如果，业务处于饱和状态就要求根证书一直在线，不符合一般CA安全的密钥安全管理原则，也极大的增加了根密钥的安全风险。因此，此类的证书已经不是主流的证书类型。 参考技术A

第一步：统计域名数量

SSL证书从域名数量可以分为单域名、多域名和通配符等类型，保护的域名数量越多，证书的价格也就越贵。因此我们需要先统计保护的域名数量，从而确定选择哪一种类型的SSL证书：

1、保护1个网站域名，选择单域名SSL证书即可;

2、保护没有直接联系的多个域名，选择多域名SSL证书;

3、保护多个域名且是主域名与子域名的关系，则可选择多域名SSL证书或通配符证书。

第二步：确定认证级别

SSL证书有DV、OV和EV三个认证等级，级别从低到高，不同认证等级的SSL证书所需要的申请资料以及特点也是不一样的。所以我们需要根据网站的具体情况来选择合适的SSL证书认证等级。

1、DV SSL证书(域名验证型SSL证书)：只验证域名所有权，快速颁发，但安全级别一般，适合个人站点(如博客、自媒体等)。

2、OV SSL证书(组织验证型SSL证书)：需要验证企业或组织身份信息后颁发，安全性更强，适用于中小企业类网站。

3、EV SSL证书(扩展验证型SSL证书)：安全级别最高的证书，验证审核也最严格，安装了EV

SSL证书的网站浏览器地址栏变成绿色，并显示企业名称，一般应用于金融、电商、银行等安全需求较高的网站。

第三步：选择证书品牌

SSL证书是由受信任的数字证书颁发机构CA颁发的，目前全球有多家CA机构，比如安信证书合作的就有Comodo、Symantec、Geotrust、Thawte以及RapidSSL等知名CA机构。不同的SSL证书品牌有各自优势，比如Comodo就是以性价比高的特点深受全球用户欢迎。这里小编建议大家一定要选择靠谱的CA机构。

通过以上几步，大家应该都能根据自己的需求选择合适的SSL证书。如果不知道如何选择的可以联系安信SSL证书，我们专业提供SSL证书一站式申请安装服务!

参考技术B 您好！
一、选择SSL证书，登陆：Gworg，根据SSL选购导航，确定类型。
二、确定签发机构，Gworg机构拥有多个SSL证书品牌，每个品牌存在不同的优点，具体可以与Gworg确定，根据实际的实际情况与预算来确定。
三、个人：使用DV证书。 公司、电子商务、支付平台：使用OV证书 。大型网站：EV证书。
四、如果一级域名旗下有多个二级域名，请选择通配符（泛域名）证书。
五、存在多个不同的一级域名，请选择多域名证书。 参考技术C 如何选择沃通SSL证书？
1、确定网站类型
2、确定域名数量及类型
3、确定加密强度
强制128/256位加密：涉及资金交易、机密信息传输等对安全性能要求高的网站，请选择支持强制128/256位加密的SSL证书，规避部分用户未升级浏览器导致加密位数较低而产生的安全风险。
自适应加密：网站根据自身需求和风险评估，可选择价格实惠的自适应加密服务器SSL证书。涉及资金交易、机密数据传输等重要数据的网站不建议使用。
4、确定签名算法
SHA1： SHA1算法是目前使用最广泛的签名算法，但SHA1算法已经存在被破解的可能性。微软根据NIST的安全指引，要求受信任的CA机构于2016年1月1日起全面停止签发SHA1证书。
SHA2：更安全但不支持Windows XP。SHA2签名算法比SHA1更安全，将逐步替代SHA1成为主流签名算法。但目前仍有Windows XP系统不支持SHA2签名算法（不支持windows xp sp2 及以下环境），需打补丁SP3升级后才能支持。
2016年1月1日前，用户可在购买过程中根据自己的实际应用需求，自主选择签发SHA1证书或SHA2证书；2016年1月1日后，仅支持签发SHA2证书。 参考技术D 根据证书的安全等级选择：
域名型DV SSL证书
表现形式：地址栏显示安全锁+https适用于中小型企业官网、中小型商务网站、电子邮局服务器、个人网站等，10分钟左右就可完成域名验证和快速颁发证书，无需递交纸质文件，仅验证域名管理权，无需人工验证申请单位真实身份，快速签发、价格低廉。
根据域名数量进行选择
1、如果只有一个域名，可以选择单域名型SSL证书。大多数个人网站可以选择这种类型。
2、如果拥有多个域名的网站，可以选择多域名SSL证书，可以在一张证书上保护多个域名，不仅在管理上方便很多，价格上也实惠。
3、还有一种通配符证书，适用于保护一个域名下同一级所有子域名，不限个数。

根据网站的类别选择合适的SSL证书
1、对于个人网站、自媒体或一些中小型企业网站等，需要对数据进行加密传输，可以选择域名型SSL证书（DV），可以保证网站的信息从用户浏览器到服务器之间的传输是高强度加密传输的，是不会被窃取和篡改的。该类型证书只需要验证域名管理权，颁发速度快，10分钟左右就能颁发，价格经济实惠。会在地址栏显示HTTPS和安全挂锁。缺点在于只显示网站域名，不显示申请单位名称。
2、对于一些企业网站或电子商务网站等，可以选择企业型SSL证书（OV）或增强型SSL证书（EV）。这两种类型的证书除了验证域名管理权限外，还需要验证网站企业的身份， 确认申请单位是一个合法存在的真实实体。除了能保证对数据进行高强度加密传输外， 还能在证书中体现公司真实身份。而对于更高级别的EVSSL证书，还能直接在地址栏绿色显示公司名称，从而有效提升在线交易量和企业形象。
3、对于银行等金融类网站，由于涉及到财务安全，极容易成为不法分子的目标，因此建议选择目前安全级别最高的EVSSL证书。从而有效防止被钓鱼网站仿冒，避免客户及网站受损失。

如何更快捷的安装SSL证书？

Gworg安装SSL证书。

解释原因：

SSL证书步骤在验证上，只要确定好域名认证完毕后就可以安装。

安装分为可视化面板和SSH模式，可视化安装面板都是很快的，正常情况下10分钟就可以完成。

SSH模式安装正规的环境部署安装也很简单，正常15分钟左右，但此类环境也存在自开发环境改变了通用技术的做法，需要技术人员慢慢研究安装。

解决办法：碰到安装让Gworg。

参考技术A

安装SSL证书，首先申请SSL证书，SSL证书分为的三种类型：

域名验证：DV SSL证书颁发机构只采取域名认证，证明该域名是您在使用，所以他们会要求域名负责人添加域名解析或者邮箱、WEB方式认证。可以实现地址栏绿色小锁和基本的数据加密传输，但不会实名认证，缺乏真实性识别，这也导致钓鱼网站有机可乘，会导致更多的受害者被诈骗。

组织验证：OV SSL证书，这是一款企业级SSL证书，除了进行域名管理者认证以外，还需配合工商实名材料的认证，非常严格，他需要到第三方实体登记并且要在工商局查询确定这些材料的真实性。可以实现地址栏绿色小锁，用户可以打开百度网站地址栏点击查看证书，点击详情信息使用者就可以看到实名信息。

扩展验证：EV SSL证书，是目前最高，最安全的认证，SSL证书颁发机构会对域名，电话，组织，住址，负责人进行全新的实名认证并且采取第三方现实中登机材料。可以实现地址绿色小锁，并且增加企业名称，非常明显！用户可以直接判断这个网站的真实性！也就是说该网站地址栏有名称的，可以认定是合规的站点。一般用于银行，金融机构和品牌较大的一些公司。

SSL安全证书的安装还需要看是在上面媒介上安装，下面展示下在IIS服务器上安装SSL证书的步骤：

1、打开IIS服务管理器，点击计算机名称，双击“服务器证书”

2、双击打开服务器证书后，点击右则的导入，导入刚刚自己生成的pfx格式证书文件

3、输入申请证书时有填写私钥密码需要输入密码，点击确定

4、点击网站下的站点名称，点击右则的绑定

5、打开网站绑定界面后，点击添加，开启SSL

6、添加网站绑定内容：选择类型为https，端口443和指定对应的SSL证书，点击确定（注意：这里一定要选择433端口，具体详情可参考：《SSL证书端口一般默认是多少？》）

7、添加完成后，打开上面所提的网站绑定界面，刷新将会看到刚刚添加的内容

8、重启IIS服务器

要开始分配证书，就要重启IIS服务器。点击”开始”——”运行”，输入”IISREset”然后按回车。这时命令提示符就会出现，同时显示出IIS的重启状态

9、测试SSL证书是否有效

用各种浏览器来测试一下SSL证书是否有效。通过”https://”来启用SSL证书，连接到你的网站。你会看到地址栏有一个绿色锁状的图标，这就表示SSL证书已成功安装上了

参考技术B 如果是对SSL证书不了解的新手，但是又不想花那么多精力去摸索这个东西，那么我建议使用证书智能管理平台会更好，它是一个专门给新手或者想方便管理SSL证书的用户使用，例如新手经常碰到安装问题，如何生成CSR密钥，它自带一键安装功能，能快速安装SSL证书；除此之外，还有其他强大的功能，例如续签时，无需再经历复杂的申请流程，还有SSL证书到期提醒功能等等功能，如果想了解更多，可以到天威诚信官网进行咨询的！而且近期还有双十一活动，惊喜连连~本回答被提问者采纳