阿里云數字證書管理服務提供多種SSL證書類型和品牌,適用于不同規模的網站,包括但不限于電商、小型企業、大型企業或個人等。此外,還提供通配符證書、多域名證書和混合域名證書,以滿足不同業務需求,如保護多個子域名或多個不同的域名。您可以根據網站的規模、業務需求和預算,參考本文選擇最適合的證書來保障網站的安全。
數字證書管理服務已于2024年06月下旬將SSL免費證書更名為個人測試證書(免費版),將升級證書(有效期12個月)變更為個人測試證書(pro)。免費證書更名通知,請參見【通知】免費證書更名。
選購示例
在選擇SSL證書前,您需要考慮保護的域名數量、證書安全等級、證書加密算法與客戶端或服務端兼容性、證書加密算法的性能以及合規場景等因素。以下為您列舉個人用戶和企業用戶選購SSL證書的示例,僅供參考;如果以下示例仍不能滿足您的業務需求,您可以訪問產品詳情頁或通過產品控制臺的專家一對一服務入口,進行技術專家評測咨詢。
個人用戶:如果您是個人用戶且搭建了自己的個人博客或個人測試網站,且網站無數據傳輸業務,僅用來展示純信息或內容,您可以參考下表選購SSL證書。
考慮因素
業務特征
推薦
確定保護的域名數量
僅保護1個網站1個域名
選擇單域名證書,即一張SSL證書保護一個域名。
確定驗證強度和安全等級
驗證流程簡單快速,安全等級一般即可
選擇DV證書,只驗證域名真實性,簽發最快10分鐘。
確定SSL加密算法
沒有強加密要求,兼容主流瀏覽器即可
選擇RSA算法,兼容幾乎所有瀏覽器。
確定SSL證書品牌和預算
有保障且價格低
選擇RapidSSL品牌或個人測試證書。
RapidSSL是DigiCert旗下的子品牌,性價比高,適用于個人開發者。
個人測試證書一般僅用于個人網站或測試使用,不建議業務成熟的企業類型網站使用。
企業用戶:如果您是企業用戶,您可以參考行業選型案例進行選購。
行業
業務特征
案例
證書品牌
證書類型
加密算法
域名類型
金融、銀行
希望在網站地址欄展示企業身份信息
對數據傳輸保密性的要求較高
中國銀行
DigiCert
EV
RSA
單域名
教育、政府、互聯網
網站后期有多個新增站點的需求
無需在網站地址欄展示政府或公司名稱
阿里云、淘寶、天貓
GlobalSign
OV
RSA
通配符域名
新浪、今日頭條
GeoTrust
RSA
通配符域名
上海黃金交易所
CFCA
RSA
通配符域名
用友軟件
WoSign
RSA
通配符域名
選購詳情說明
根據是否付費選擇SSL證書
阿里云提供個人測試證書和正式證書。個人測試證書一般僅用于個人網站或測試使用,不建議業務成熟的企業類型網站使用。如果您使用的是企業類型網站,建議購買正式證書。正式SSL證書購買流程,請參見購買SSL證書;個人測試證書(免費版)申請流程,請參見申請個人測試證書。
個人測試證書(免費版)和付費證書區別
下表是關于個人測試證書(免費版)和付費證書的區別,以幫助您選擇合適的證書。
對比項 | 個人測試證書(免費版) | 付費證書 | |
個人測試證書(pro) | 正式證書 | ||
安全等級 | 一般 | 一般 | 高 |
證書運行環境的兼容性 | 一般 | 一般 | 高 |
OCSP(Online Certificate Status Protocol,在線證書狀態協議)穩定性 | 較弱。不保證OCSP驗證穩定性 | 較弱。不保證OCSP驗證穩定性 | 高。保障OCSP驗證穩定性 |
SLA保障 說明 關于數字證書管理服務SLA詳情,請參見相關協議。 | 無 | 無 | 保障 |
CA中心對證書的安全保險賠付 | 不支持 | 不支持 | 支持 |
證書服務周期 | 僅支持3個月(即證書的有效期是3個月,過期后必須重新申請和安裝證書,運維管理成本高) | SSL簽發后有效期為12個月,且提供托管服務(在證書即將過期時,自動提交新證書的申請),支持最長3年的服務周期 | SSL證書的最長有效期為397天,且提供托管服務(在證書即將過期時,自動提交新證書的申請),支持最長3年的服務周期 |
通過續費補齊舊證書的剩余有效期 說明 補齊剩余有效期是指補齊新證書簽發時間至舊證書到期之間的時間段。例如,您待續費的舊證書于2024年08月01日過期,如果您在2024年07月20日完成續費購買和簽發,那么新證書的有效期為2024年07月20日~2025年08月01日。 | 不支持 | 不支持 | 支持 |
證書數量限制 | 每個自然年可免費申請20張,需要更多證書時可付費購買 | 不限制 | 不限制 |
支持保護的網站域名類型 | 僅支持保護一個單域名。不支持后綴為特殊詞的域名申請個人測試證書。例如 | 僅支持保護一個單域名。不支持后綴為特殊詞的域名申請個人測試證書。例如 | 支持保護單域名、通配符域名、多域名 |
支持綁定IP地址 | 不支持 | 不支持 | 僅Globalsign、GeoTrust、vTrus、CFCA品牌的OV單域名證書支持綁定IP。 |
支持的證書類型 | 僅DV | 僅DV | DV、OV、EV |
證書合并申請 說明 證書合并申請是將多個品牌和類型都相同的證書(域名)合并為一張證書簽發,簡化了多證書的申請和管理流程。具體操作,請參見證書合并申請。 | 不支持 | 不支持 | 支持 |
人工客服支持 | 不支持 說明 由于免費版個人測試證書是無償提供給用戶用于測試的,因此不支持任何免費的人工技術支持或安裝指導。您可以根據您的服務器環境,結合幫助中心對應環境的文檔完成證書的安裝部署。如果您需要人工技術支持,建議您購買部署服務。 | 支持 | 支持 |
付費證書價格對比
下表為您展示各SSL證書各品牌單域名以及通配符域名的零售價格,請您根據實際預算進行選擇。
證書零售價格僅供參考,多域名證書價格以及實際證書價格,請以證書服務購買頁為準。
證書品牌 | 證書類型 | 方案價格(/張/年) | |
單域名 | 通配符域名 | ||
DigiCert | 個人測試證書 | 個人測試證書(免費版)/3個月。個人測試證書(pro)68元/年/張 說明 對于免費領取的SSL證書,簽發后的證書有效期為3個月。您可以支付基礎的服務費(68元/張/年),阿里云將為您升級至12個月有效期的證書。個人測試證書(免費版)申請以及升級指南,請參見申請個人測試證書和個人測試證書升級指南。 | 不涉及 |
DV | 不涉及 | 2,000元/年 | |
OV |
| 40,000元/年 | |
EV |
| 不涉及 | |
GeoTrust | OV | 2,778元/年 | 7,278元/年 |
EV | 6,000元/年 | 不涉及 | |
GlobalSign | DV | 1,980元/年 | 6,930元/年 |
OV | 3,728元/年 | 13,048元/年 | |
Rapid | DV | 378元/年 | 1,788元/年 |
vTrus(國產) | DV | 1,200元/年 | 3,000元/年 |
OV | 4,000元/年 | 12,000元/年 | |
CFCA(國產) | OV | 4,000元/年 | 15,000元/年 |
EV | 10,000元/年 | 不涉及 | |
WoSign(國產) | DV | 880元/年 | 2,640元/年 |
根據網站域名數量選擇域名類型
SSL證書是通過綁定域名或IP使用的,因此您可以按照SSL證書所保護的域名數量選購SSL證書。阿里云SSL證書支持申請單域名、多域名、通配符域名(泛域名)和混合域名證書。下表為您介紹不同域名類型的區別以及選購說明。
域名類型 | 選購說明 | 支持證書品牌和證書類型 |
單域名 | 單域名是指一個證書只能保護一個主域名、一個子域名或一個公網IP(IPv4)。例如,www.aliyundoc.com。如果您有一個網站或者小程序,且只有一個域名或IP,單域名SSL證書是最佳選擇。 | 所有證書品牌和類型均支持。 僅Globalsign、GeoTrust、vTrus、CFCA品牌的OV單域名證書支持綁定IP。 |
多域名 | 多域名是指一個證書同時綁定多個單域名(主域名、子域名或公網IPv4地址)。如果您的網站擁有多個主域名或子域名,可以選擇多域名證書。 說明 通過阿里云申請多域名證書時,最多支持綁定5個單域名,您可以在后續追加或合并域名,最多不超過250個。追加域名操作,請參見追加和更換域名。 | 所有證書品牌的OV和EV證書。 多域名包含公網IPv4地址時,需要確保SSL證書為Globalsign、GeoTrust、vTrus、CFCA品牌的OV類型證書。 |
通配符域名 | 通配符域名是指對應一個主域名及其次級域名的所有子域名。如果您的網站存在很多同級別的子域名,選擇通配符域名證書,您僅需購買一張通配符證書即可,而無需為每個子域名單獨購買證書。 通配符域名證書匹配域名的規則如下:
| 所有品牌的DV和OV證書。 |
混合域名 | 混合域名證書是指同一張證書中包含多個不同類型的域名。例如,當您需要為同一個證書綁定 | 所有品牌的OV證書。 |
根據驗證強度和安全性選擇證書類型
阿里云支持購買DV證書、OV證書和EV證書三種類型的SSL證書。不同類型證書的安全性、支持的證書品牌和適用的網站類型不同,具體如下表所示。
證書類型 | 適用網站類型 | 公信等級 | 認證強度 | 安全性 | 審核方式及資料 | 簽發時間 | 支持的證書品牌 |
DV(域名型) | 適用于個人網站、App服務、展示型網站、企業測試或個人測試網站。 說明 如果您的網站主體是個人(即沒有企業營業執照),只能申請個人測試證書或DV型數字證書。 | 一般 | CA機構審核個人網站真實性、不驗證企業真實性 | 一般 | 通過DNS驗證。僅需提交域名即可。 | 1~2個工作日,最快10分鐘簽發 |
|
OV(企業型) | 適用于政府組織、中小型企業或教育機構等。 說明 對于一般企業、移動端網站或接口調用,建議購買OV及以上類型的數字證書。 | 高 | CA機構審核組織及企業真實性 | 高 | 郵件或電話。需提交驗證域名、公司信息、營業執照等。 | 3~7個工作日 |
|
EV(企業增強型) | 適用于大型企業、金融機構、電商等涉及交易支付和隱私數據的高私密網站。 說明 對于金融、支付類企業,建議購買EV型證書。 | 最高 | 嚴格認證 | 最高 | 郵件或電話。需提交驗證域名、公司信息、營業執照等。
| 3~7個工作日 |
|
根據證書加密算法選擇證書
阿里云SSL證書支持的加密算法為RSA、ECC和國密SM2,如果您的業務對算法的類型和性能有要求,可以參考以下內容選擇證書。
國際標準算法:RSA加密算法目前應用廣泛的非對稱加密算法(通過公鑰和私鑰來進行數據的安全傳輸和驗證),相較于后來出現的ECC算法,RSA在兼容性和普遍適用性上表現出更強的優勢;ECC(橢圓曲線加密)算法相比于RSA,是一種更先進和安全的加密算法(加密速度快、效率更高、服務器資源消耗低),目前已在主流瀏覽器中得到推廣。RSA和ECC算法的SSL證書都可用于Web站點、小程序、App等應用場景,但在確保性能、兼容性和滿足特性合規要求時,需要進行評估和規劃。
對比項
RSA
ECC
安全性與密鑰長度
長度要求較高。支持的密鑰長度為2048位和4096位。
相對較小的密鑰長度即可達到相同安全級別。
256位:相當于RSA 2048位密鑰所提供的安全性。
384位:相當于RSA 3072位密鑰所提供的安全性。
性能效率
加解密速度慢。
加解密速度快,尤其在有限資源環境下表現更優,例如移動設備、物聯網(IoT)設備等。
內存和CPU占用
較高。
較少。
兼容性
更廣泛兼容現有系統、瀏覽器和應用程序。
兼容性較好但相比RSA略遜。
國密標準算法:SM2橢圓曲線公鑰密碼算法是國家密碼管理局發布的ECC橢圓曲線公鑰密碼算法,在中國商用密碼體系中用來替代RSA算法。SM2算法的SSL證書適用于滿足國密合規的用戶。
證書品牌 | 證書類型 | 密鑰長度 | 簽名算法 | ||||||||
RSA | ECC | SM2 | RSA | ECC | SM2 | ||||||
2048 | 4096 | prime256v1 | secp384r1 | sm2p256v1 | SHA256withRSA | SHA384withRSA | SHA256withECDSA | SHA384withECDSA | SM3withSM2 | ||
DigiCert | 個人測試證書 |
|
|
|
|
|
|
|
|
|
|
DV |
|
|
|
|
|
|
|
|
|
| |
OV |
|
|
|
|
|
|
|
|
|
| |
EV |
|
|
|
|
|
|
|
|
|
| |
GeoTrust | OV |
|
|
|
|
|
|
|
|
|
|
EV |
|
|
|
|
|
|
|
|
|
| |
GlobalSign | DV |
|
|
|
|
|
|
|
|
|
|
OV |
|
|
|
|
|
|
|
|
|
| |
RapidSSL | DV |
|
|
|
|
|
|
|
|
|
|
vTrus(國產) | DV |
|
|
|
|
|
|
|
|
|
|
OV |
|
|
|
|
|
|
|
|
|
| |
CFCA(國產) | OV |
|
|
|
|
|
|
|
|
|
|
EV |
|
|
|
|
|
|
|
|
|
| |
WoSign(國產) | DV |
|
|
|
|
|
|
|
|
|
|
根據證書品牌優勢選擇證書
SSL證書是CA機構(Certificate Authority,證書頒發機構)驗證網站或域名信息后簽發的,CA市場存在多個知名的品牌,目前國際比較知名的品牌有DigiCert、GeoTrust、GlobalSign等,中國內地比較知名的有CFCA、WoSign等。在選擇證書品牌時,您需要考慮品牌支持的證書類型、簽名算法類型、密鑰長度、域名類型以及價格等因素,并結合自身的業務需求和預算進行綜合考量。如果仍不能確認證書品牌,您可以訪問產品詳情頁或通過產品控制臺的專家一對一服務入口,進行技術專家評測咨詢。
證書品牌 | 說明 | 優勢 |
DigiCert | Digicert(原Symantec)是全球領先的數字證書頒發機構(CA),值得信賴的SSL證書品牌,所有證書都采用業界先進的加密技術,為不同的網站和服務器提供安全解決方案。 |
|
RapidSSL | RapidSSL是DigiCert旗下的子品牌,前身GeoTrust DV證書,于2022年01月下旬證書更名為RapidSSL,詳情請參見【變更】關于GeoTrust DV證書名稱變更的通知。 |
|
GeoTrust | Geotrust品牌是DigiCert(原Symantec)旗下子品牌,全球第二大數字證書頒發機構(CA),也是身份認證和信任認證領域的領導者,采用各種先進的技術使任何大小的機構和公司都能安全、低成本地部署SSL數字證書和實現各種身份認證。 |
|
GlobalSign | GlobalSign是較早的數字證書認證機構之一,一直致力于網絡安全認證及數字證書服務,是一個備受信賴的CA和SSL數字證書提供商。天貓、淘寶等大型電商網站采用了GlobalSign品牌證書。 |
|
CFCA(國產) | 中國金融認證中心(CFCA)通過了國際WebTrust認證,遵循全球統一鑒證標準,是國際CA瀏覽器聯盟的組織成員,可滿足政府/金融等行業對SSL證書國產化的相關要求。 |
說明 CFCA證書目前不支持iOS 10.1及10.1以前的版本,不支持安卓6.0及以前的版本。 |
vTrus(國產) | vTrus是一個國產證書品牌,滿足企業采購國產品牌SSL證書的需求。 |
|
WoSign(國產) | WoSign是一個國產證書品牌,滿足企業采購國產品牌SSL證書的需求。 |
|