SSL证书的分类主要是通过下面两个维度进行分类:
1.根据验证模式分类
根据CA机构对申请者的身份审核范围分为:DV证书、OV证书、EV证书。
1.1.DV证书(域名证书)
DV(Domain Validated)证书是最常见的一种证书类型,大多数免费证书都此类证书。CA机构获取CSR证书请求后,从中取出域名,校验域名的所有权与证书申请者是否一致,一致代表身份审核通过,CA机构发放DV证书。
由于DV证书在审核时,CA不会对申请者的身份进行严格的审核,某些恶意的攻击者会通过一些方法(比如DNS劫持)冒充服务器实体向CA机构申请证书,CA机构可能会给攻击者签发恶意的证书。
一般来说,DV证书更适合于个人网站。
1.2.OV证书(机构证书)
对于OV(Organization Validated)证书,CA机构会对申请者的身份进行严格的审核,从而给用户(浏览器)提供更安全的信任。
CA根据严格的标准会审核申请者身份,比如说审核申请者的企业资质、企业地址等消息,确保申请者的身份是真实的。
一般来说,企业和政府机构一般会申请OV证书,由于审核申请者的身份需要时间,申请OV证书完成的时间比DV证书申请完成的时间要长。
1.3.EV证书
对于EV(Extended Validation)证书,CA机构会对申请者的身份进行更严格的审核,对于CA机构来说,CA机构会严格根据CA/Browser论坛制定的标准审核申请者的身份,该标准称为Baseline Requirement标准,是由浏览器厂商、CA等机构创建的。
Baseline Requirement标准包含的内容比较广泛:
◎审核证书申请者身份的标准。
◎浏览器嵌入CA根证书的标准。
◎企业成为CA机构的标准。
◎浏览器校验证书的标准,比普通DV证书有更严格的校验。
◎证书包含属性的标准。
读者在理解的时候要注意区分X.509标准和Baseline Requirement标准:
◎这两个标准是不同的组织制定的。
◎X.509标准更多规定证书的结构和组成,Baseline Requirement标准规定申请者身份审核的流程,一家组织要成为CA机构也必须符合该标准,签发的证书也要符合该标准(比如EV证书中包含申请者的企业名称)。
◎虽然X.509标准很完善,规定了证书的作用、证书链的校验,但如果CA机构随意签发证书,最终带来的危害是巨大的,所以Baseline Requirement标准的补充很重要,用于限制CA机构的行为,规范证书签发。
一般来说,银行、电商企业、政府机构会申请EV证书,申请EV证书完成的时间比OV证书申请完成的时间要长。
对于EV证书,CA机构需要申请者提供更多信息进行身份审核,比如:
◎营业执照
◎公司法人身份证
◎公司地址
对于CA机构来说,不同类型的证书有不同的审核标准,对于用户来说肯定更信任EV证书,读者如何知道获取的证书是OV、OV、EV呢?
对于DV、OV证书,浏览器地址栏上会出现一个绿色小锁图标,而对于EV证书,浏览器地址栏上除了绿色小锁图标,还会出现企业的名称,显然用户更信任部署EV证书的网站。
相比DV、OV证书来说,EV证书还有其他的一些区别:
◎申请EV证书需要的花费会更高。
◎提供EV证书的CA机构服务也更好,比如有7×24小时在线服务。
◎EV证书提供的功能也更多,比如支持证书透明度,证书兼容性也更好。
◎对于EV证书,浏览器会更严格地校验证书,比如Chrome默认只会对EV证书进行OCSP校验,要求所有的EV证书必须支持证书透明度。
2.根据域名进行分类
根据证书中域名(主机)数量也可以对证书进行分类,共有四种类型的证书。
2.1.单域名证书
一张证书包含一个域名,价格相对便宜。
2.2.泛域名(Wildcard Domain)证书
多个子域名,这些子域名组合在一起就是泛域名,比如example.com注册域的泛域名就是.example.com, .example.com泛域名可以包含www1.example.com、www2.example.com、www3.example.com等主机。
那为什么要用泛域名证书呢?举个例子,某个企业拥有一个注册域example.com,现在需要开展一项新业务,分配一个www1.example.com主机,为该主机申请了一张证书,过了一段时间,又开展了一项新业务,分配了一个www2.example.com主机,那么如何申请证书呢?有两种策略:
◎为www2.example.com主机新生成一张证书。
◎在原有www1.example.com证书上,新增加一个主机www2.example.com。
第一种方式的缺点就在于每个主机要单独申请证书,如果未来还要分配主机,就需要再申请证书,证书管理非常复杂。
第二种方式就是泛域名证书,可以将多个同级的主机合并到一张证书中,泛域名证书的优点就在于增加新主机时不用更新证书,新增主机本来就包含在泛域名证书中。
“多个同级的主机合并到一张证书中”是非常关键的一句话,比如www1.www.example.com主机和www2.www.example.com主机不能合并到.example.com泛域名证书中,只能合并到.www.example.com证书中。
2.3.SAN(Subject Alternative Names)证书(多域名证书)
对于中大型规模的公司来说,可能有多个注册域,如果需要将多个不同的注册域合并到一张证书中,就需要申请SAN证书,比如可以将www.example.com、www.example.cn合并到一张证书中,这种证书也称为多域名证书。
2.4.SAN范域名证书
这种类型的证书结合了SAN证书和范域名证书的特点,比如将www.example.com、www.example.cn、.example.org域名合并到一张证书中。
这种证书非常昂贵,大型企业为了方便管理证书,一般采用这种类型的证书。需要注意的是,一个企业不应该使用多级主机,读者可以思考,如果一个企业有example.com、example.cn、example.org注册域,还有.www.example.com泛域名主机,如何申请证书?
最后需要强调的是,某些CA机构规定EV证书才能支持多主机或者泛域名,当然大部分CA机构没有该限制。