网络安全科普：SSL证书

一、CA 证书、SSL 证书及其区别

CA 证书是由 CA 颁发的电子证书，又被称为数字证书，证书主要包含证书拥有者的身份信息，CA 机构的签名，公钥和私钥。 CA 证书是一串能够表明网络用户身份信息的数字，提供了一种在计算机网络上验证网络用户身份的方式，因此数字证书又称为数字标识。

SSL 证书是一个数字证书，用于认证网站的身份并启用加密连接。SSL 代表安全套接字层，这是一个安全协议，可在 Web 服务器和 Web 浏览器之间创建加密链接。

关于 CA 证书和 SSL 证书之间的关系，其实某种意义上，大家会将其认为等价，不过稍有不同：CA 是证书颁发机构，由 CA 机构颁发的证书都可以成为 CA 证书，SSL 证书只是 CA 机构颁发证书的其中一种。

SSL 证书类别

SSL 证书根据验证级别主要分为三种类型：

1. 扩展验证证书 (EV SSL)： 这是等级最高、最昂贵的 SSL 证书类型。它倾向于用于收集数据并涉及在线支付的高知名度网站。安装后，此 SSL 证书在浏览器地址栏上显示挂锁、HTTPS、企业名称和国家/地区。在地址栏中显示网站所有者的信息有助于将网站与恶意网站区分开。要设置 EV SSL 证书，网站所有者必须经历标准化的身份验证过程，以确认他们已获得该域的专有权利的合法授权。EV SSL证书遵循全球统一的严格身份验证标准，是目前业界安全级别最高的顶级（Class 4级）SSL证书。常见客户为金融、银行等。
2. 组织验证证书 (OV SSL)： 此 SSL 证书版本具有与 EV SSL 证书类似的保证级别，这是因为，要获得此证书，网站所有者需要完成实质性的验证过程。此类型的证书也会在地址栏中显示网站所有者的信息，以区别于恶意网站。OV SSL 证书往往是价格第二高的证书（仅次于 EV SSL），其主要目的是在交易期间对用户的敏感信息进行加密。商业或面向公众的网站必须安装 OV SSL 证书，以确保共享的任何客户信息都得到保密。对于政府、学术机构、无盈利组织或涉及信息交互的企业类网站来说使用DV证书。
3. 域验证证书 (DV SSL)： 获得此 SSL 证书类型的验证过程是最简单的，因此，域验证 SSL 证书提供了较低程度的保证和最低程度的加密。它们通常用于博客或信息类网站，即，不涉及数据收集或在线支付的网站。此 SSL 证书类型是成本最低、获取速度最快的证书之一。验证过程仅要求网站所有者通过答复电子邮件或电话来证明域所有权。浏览器地址栏仅显示 HTTPS 和一个挂锁，没有显示公司名称。

注：EV/OV/DV 为根据不同验证强度而指定的不同证书类型；此外，DV/OV SSL 证书均有支持通配符（泛域名）的 SSL 证书，但是 EV 不支持，如果需要达到相似的目的，那么需要使用 MDC，即多域 SSL 证书，MDC 为 EV 类型；DV/OV/EV 三种等级的 SSL 证书均可支持签发 UCC SSL证书。