SSL证书是三级证书好还是二级证书好？有啥不同？

Posted 2023-05-07

这里所说的“三级证书”只指用户的SSL证书是在“受信任的根证书颁发机构”下的“中级证书颁发机构”下颁发的证书，而“二级证书”只指用户的SSL证书是直接在“受信任的根证书颁发机构”下颁发的证书。两种不同级别的SSL证书各有各的好处：
一、认为二级证书好的主要有两个理由
1、二级证书安装简单，不用安装中级根证书
2、二是会加快SSL加密协商过程
二、认为三级证书好的也有两个理由
1、三级证书的安全性更好，因为CA可以把顶级根证书脱机放在一个安全的地方，而联机颁发证书的是中级根证书，一旦中级根证书遭到破坏，还可以从顶级根证书颁发一个中级根证书来重新给用户颁发证书。但如果让顶级根证书联机颁发证书，则一旦顶级根证书遭到破坏，则是灾难性的损失，使得CA再也无法颁发证书了，因为根证书是无法重新设置的，重新设置的根证书已经不是原来的根证书了
2、在中级根证书下颁发证书会大大减少证书吊销列表的容量，从而加快每次验证SSL证书有效性的速度。另外，实际上在中级根证书下安装证书同二级证书安装一样容易，因为一般由中级根证书颁发的证书都支持PKCS#7格式(证书中已经含有中级根证书)。
根据微软网站上的有关证书服务文档，微软认为：为了根证书的安全，应该使用脱机的根证书来创建证书层次结构，不同用途的证书使用不用的中级根证书来颁发。同时，证书颁发机构的层次结构也提供了管理上的好处，包括：
CA 安全环境的灵活配置在安全性和可用性之间达成了一种平衡，如密钥强度、物理保护和网络保护免受攻击。例如，可以选择在根 CA 上使用具有特别用途的加密硬件，在物理安全区对它进行操作，或脱机进行操作。

参考技术A

二级证书好，证书链越短越好。

解释原因：

证书链越短速度很快。

根证书链越长，意味着证书文件越大，信任规则越复杂。

证书链会影响证书的影响速度。

建议使用根证书+中间证书+域名证书就可以了。

解决办法：可以在Gworg拿到较短的SSL根证书。

参考技术B 其实，证书链的长短有多方面的原因，涉及到不同的安全级别、证书颁发策略，不能一概而论。证书链越长当然验证的时间也越长，不过在不超过四级的长度下，性能接近相同。比如，目前的verisign EV证书，就存在两条证书链，一条是三级，适用于IE7等新版本浏览器，一条是四级，适用于windows 2003下的IE6等稍旧版本浏览器。
由根CA直接签发证书的二级结构，需要根证书在签发证书时在线，如果，业务处于饱和状态就要求根证书一直在线，不符合一般CA安全的密钥安全管理原则，也极大的增加了根密钥的安全风险。因此，此类的证书已经不是主流的证书类型。本回答被提问者采纳

二级域名能不能申请SSL证书

在大家的印象中，SSL证书申请是依附于域名的，而域名又有主域名和二级域名之分，通常我们所说的用域名来申请SSL证书直接默认为主域名，那二级域名支持SSL证书申请吗？

答案是肯定的。据了解，现在很多企业因为业务上的需要，会同时建设多个网站（其中不乏有二级域名的网站），那么在申请SSL证书的时候就需要考虑到多个域名的情况。二级域名是支持SSL证书申请的，为了给大家节约成本，这里推荐两款适合保护多个域名（包含二级域名）的SSL证书类型。

第一种是多域名型SSL证书。这种类型的证书是可以保护多个不同的域名（主域名和子域名都可以），最低保护2个，最高可保护250个，拥有多个不同类型域名的用户可以考虑这款。

第二种是通配符型SSL证书（即通配符证书）。这种类型的证书能够保护一个域名以及该域名的所有下一级域名，有范围上的限制，但是没有数量上的限制，适合拥有大量二级域名的用户。

以上就是多个二级域名支持SSL证书申请的类型，对于拥有多个域名的用户，可以大大的节约成本。当然，如果你有且只有一个二级域名需要保护，并且以后不打算在扩充，那么申请单域名SSL证书就行了。

这两种类型的SSL证书都可以去安信证书申请。

安信证书专售DigiCert、Symantec、GeoTrust、Comodo、GlobalSign、Thawte、RapidSSL、AlphaSSL、Sectigo等多家全球权威CA机构的SSL数字证书，种类齐全，现全场低至7折，而且提供免费安装、免费重签、30 天无条件退款等服务。