泛域名证书,也叫通配符证书,是SSL证书的一种,可以保护一个域名和该域名所有二级子域名,可开启无限子域名HTTPS安全加密,且后续新增同级子域名,无需额外付费。
泛域名证书具有高扩展性、易方便管理、省钱省时等特性。
泛域名证书可以分为DV泛域名证书、OV 泛域名证书,EV泛域名证书。
DV与OV证书的主要区别就是:
DV型证书不包含企业名称信息;而OV型证书包含企业名称信息,而且OV比DV价格贵,安全等级高。
OV和EV证书的主要区别就是:
浏览器对EV证书更加“信任”,当浏览器访问到EV证书时,可以在地址栏显示出公司名称,并将地址栏变成绿色。
Let's Encrypt证书
Let's Encrypt颁发的证书是DV泛域名证书,没有颁发 OV 或 EV 证书的计划
Let's Encrypt的通配符证书必须通过 ACMEv2 采用 DNS-01 质询签发,即通过域名DNS验证。
证书有效期为 90 天
Let's Encrypt证书不包含个人和组织信息,这点非常好。已前的ZeroSSL包含组织信息,现在也没有了。
相比ZeroSSL免费证书,浏览器/应用的兼容性更好。ZeroSSL有遇到某些应用不支持的情况。
其他更多
市面常用的证书类型一般有四种,分别是自定义证书、DV证书、OV证书、EV证书,接下来我们就具体了解一下它们各自的特点和区别。
一、证书类型
DV证书:域名验证型证书,证书审核方式为通过验证域名所有权即可签发证书。此类型证书适合个人和小微企业申请,价格较低,申请快捷,但是证书中无法显示企业信息,安全性较差。如果是部署在web网站上,浏览器中显示锁型标志。
OV证书:企业验证型证书,证书审核方式为通过验证域名所有权和申请企业的真实身份信息才能签发证书。目前OV类型证书是全球运用最广,兼容性最好的证书类型。此证书类型适合中型企业和互联网业务申请。如果是部署在web网站上,浏览器中显示锁型标志,并能通过点击查看到企业相关信息。支持ECC高安全强度加密算法,加密数据更加安全,加密性能更高。
EV证书:增强验证型证书,证书审核级别为所有类型最严格验证方式,在OV类型的验证基础上额外验证其他企业的相关信息,比如银行开户许可证书。EV类型证书多使用于银行、金融、证券、支付等高安全标准行业。如果是部署在web网站上,其在地址栏可以显示独特的EV绿色标识地址栏,最大程度的标识出网站的可信级别。支持ECC高安全强度加密算法,加密数据更加安全,加密性能更高。
自定义证书:顾名思义就是就是自己通过私有协议定义的数字证书,受信任等级也是最低的。如果自己做实验也是可以研究一下的。在Windows Kits中有一个工具——makecert.exe,可以用来制作自定义的签名证书,方法非常简单,可以上网搜一下,然后再用signtool.exe给相应的应用签名即可。
二、证书区别
2.1 OV、DV和EV证书的区别
为了大家能够清楚的区分DV、OV、EV证书的区别,这里整理了一个对比表格:
| 类型/区别 | DV SSL证书 | OV SSL证书 | EV SSL证书 |
| 审核内容 | 域名所有权 | 域名所有权、企业信息 | 域名所有权、企业信息、第三方数据核查(GoDaddy、邓白氏、114、律师函) |
| 颁发周期 | 几分钟-几小时 | 3个工作日左右 | 7个工作日左右 |
| 使用年限 | 1-2年 | 1-2年 | 1-2年 |
| 证书可信度 | 低 | 较高 | 最高 |
| 浏览器显示形式 | https+小锁标志 | https+小锁标志 | https+小锁标志+绿色网址+企业名称 |
| 适用对象 | 中小型企业网站、电子商务网站、电子邮局服务器、个人网站等 | 企业网站、电子商务网站、证券、金融机构等 | 银行、保险、金融机构、电子商务网站、大型企业等 |
| 价格 | DV证书价格便宜(1000元左右) | OV证书中等(2000元左右) |
EV证书价格最高(4000元左右) |
2.2 如何区分OV和DV证书?
OV证书和DV证书中使用者的信息对比如下图所示:
通过对比图可以看出:OV型证书会在证书的Subject中显示域名+单位名称等信息,而DV型证书只会在证书的Subject中显示域名信息。
2.3 如何区分EV和OV证书?
EV证书和DV证书中使用者的信息对比如下图所示:
通过对比图可以看出:在使用者一栏中,EV证书比OV证书多了很多其他信息,最明显的区别是显示了序列号等信息,这是EV证书特有的字段,而其他类型证书所没有的。这也是区分EV和OV证书的第一个方法。第二个方法观察颁发者一栏,如果是EV证书,一般会有EV的标示,但并不是所有的EV证书都有这个标示,所以这个方法可以作为一种辅助手段。