SSL证书

1. DV、IV、OV与EV之分

   从证书认证的等级来分，SSL证书可以分为DV, OV和EV三种：

  (1) DV是Domain Validation的缩写，意思就是对网站域名所有权进行验证。

      CA认证机构会向域名持有者的邮箱发送相应的邮件，以确认证书和域名的所有权关系。

      其特点是简单快捷，价格便宜，缺点是无法保证网站经营者的身份，因此一般仅用来提供数据加密的功能。

  (2) OV是Organization Validation的缩写，这种证书在颁发的时候会对网站所有单位的身份进行证实行验证，所以一般电子商务类的网站往往会做OV的认证。

      价格当然也会比较昂贵，证书颁发周期也会比较久。

  (3) EV是Extended Validation的缩写，也是最严格的身份验证，当用户在访问通过EV认证的网站时候，浏览器的显示为绿色，当然价格也是相当的昂贵。:)

  上述三种证书从数据传输安全性上来说无区别（只要密钥强度相同）。

  另外还有一种IV (Identity verified)，只是Startcom搞的，wosign也有，和OV差不多，只不过OV只针对公司，IV针对个人。

  从验证流程上来说有区别：

  * DV只要验证域名所有权（例如向whois邮箱发一封邮件）

  * OV除了DV的要求，还需要提交公司经营执照等，证明公司存在

  * EV除了OV需要的证件，还需要审计报告之类许多证明，以证明公司足够可信

  DV和OV没啥区别，EV高大上一些，因为地址栏会变成绿色。

  浏览器是不会承认OV可信度的，例如firefox会提示“网站运营者为（未知）”，只有点开证书找到O那一栏有公司名称。

  另外，证书商经常会标注Class几的证书，这个不属于SSL标准不用理会，是各个证书商自己决定的东西。

2. SSL证书对应的域名

   一个SSL证书都有其对应的域名，从其适用的域名个数来分可以分为单域名、多域名和泛域名证书。

   顾名思义，单域名证书只能适用于一个域名，多域名证书可以适用于多个域名。

   而泛域名证书，又称为通配符型(wildcard)证书，可以匹配*.domain.name这种形式。

3. SSL证书的价格   

众所周知，每家SSL服务商的证书的价格都不一样，价格差距从几倍到十几倍之多。而很多用户并不知道厂商如此定价的原因。

(1). 同厂商的产品按验证类型，价格有差距：

   通常来说，域名验证DV证书价格最便宜（甚至有免费的），一般在100美元/年以下。

   组织验证OV略为昂贵，价格为100到500美元/年。

   而EV证书最贵，价格为100到1200美元/年。

(2). 同厂商的产品按证书功能，价格有差距：

   一般的，普通单域名证书便宜些，其次是MDC（多域名加SAN的证书），价格约为单域名证书的3倍。

  更贵的是泛证书，一般为单域名证书的5到10倍。

   而EV证书比较特殊，世界上不存在EV泛域证书，所以EV证书的价格与泛证书的价格近乎相当。

(3). 同样功能、同样验证方式的证书，不同品牌（厂商）价格有差距：

   世界上SSL市场份额前三的厂商分别是：Verisign(Symantec)、Geotrust、Thawte。

   价格排序也一样，Verisign证书最贵，其次是GeoTrust，再者是Thawte。而Comodo这家比较特殊厂商，旗下有8个根证书，自家下的各家渠道服务商的报价也有差距。

选择SSL证书如何选择报价呢？首先，如果您的用途是为了彰显品牌、体现专业，Verisign、Geotrust、Thawte的EV、OV证书将是您的不二之选。如果纯粹是为了正常使用HTTPS功能，那么选择廉价的DV证书也何尝不可。

4. 选择SSL证书还需要注意的几点

   (1) 与浏览器兼容性

       低端SSL服务器证书无法与多数浏览器兼容，因此访问时会弹出安全警告或直接禁止客户访问，极大的降低客户登录成功率。

   

   (2) 支持的域名

       是否支持一些最新后缀的域名, 例如.xyz, .wang等域名需要考虑。

   (3) 考虑多服务器部署

       当服务器做负载均衡部署时，有的SSL证书是按照服务器数量来收费的。

  

   (4) 加密强度   

       低端证书一直无法提供128位的加密强度，因此在安全性上存在重大隐患。128位强制型证书在市场上倍受青睐。

       需要考虑同时签发SHA256 SSL证书，也称SHA2 SSL证书, 同时也支持签发SHA1算法的SSL证书，以满足老旧设备的需求。 鉴于证书签名使用的SHA-1算法的安全性逐年降低，各浏览器将逐步对部署SHA-1算法的SSL证书的网站进行安全警告。沃通CA积极响应微软、Google和相关国际组织的标准要求，将为2016年12月31日之后到期的SHA-1证书用户免费替换为更加安全的SHA-2证书。

       替换方案：为了充分兼容Windows XP用户，替换方案是系统会同时颁发两种证书给用户，一张是完整有效期的SHA-2证书，另一张是有效期截至到2016年12月31日的SHA-1的证书，方便用户选择安装。推荐先安装SHA-1证书，在2016年12月份再安装SHA-2证书。

      延伸阅读：为什么Google急着杀死加密算法SHA-1, http://sec.chinabyte.com/289/13087289.shtml

   

   (5) 身份验证   

       对于重要的金融机构、大型购物网站，配置不进行身份验证的低端SSL证书极容易被欺诈仿冒，其品牌价值和信任度将经受严重考验。

       高端SSL服务器证书可以与浏览器完全兼容，高安全的加密强度及身份验证机制可以确保网站的安全可靠，

       其最新的EV证书更可以展示绿色地址栏提升网站安全可信度。

   

   (6) 兼容移动设备   

       使用移动设备终端访问网站也成未来发展趋势，Entrust证书能很好的兼容移动设备。

  

5. 国内SSL证书申请机构沃通(WoSign)

    2014.9.3火狐浏览器正式预置沃通两个根证书

    其中一个是全球唯一的中文根证书，火狐浏览器的预置标志着沃通(WoSign)的证书签发系统已经通过全球最严格的技术审查，达到了世界一流水平！     

    2014.3.11微软全球发布沃通(WoSign)根证书

    微软于当日凌晨全球发布了Windows受信任的根证书更新补丁(KB931125)，其中包括沃通(WoSign)完全拥有知识产权和所有权的两个根证书：“Certification Authority of WoSign”(英文根证书)和“CA沃通根证书”(中文根证书)。