[转帖]SSL数字证书分类DV/OV/EV

ssl,数字证书,分类,dv,ov,ev · 浏览次数 : 0

小编点评

**SSL证书分类** **基于验证模式分类** * DV证书:域名证书,最常见的一种证书类型,用于个人网站。 * OV证书:机构证书,用于企业和政府机构。 * EV证书:扩展验证证书,用于中大型公司需要多个域名的证书。 **基于域名分类** * 单域名证书:包含一个域名。 * 泛域名(Wildcard Domain)证书:多个子域名组合在一起就是泛域名。 * SAN(Subject Alternative Names)证书:用于中大型公司需要多个域名的证书。 * SAN范域名证书:结合了SAN证书和范域名证书的特点。

正文

SSL证书的分类主要是通过下面两个维度进行分类:

1.根据验证模式分类

根据CA机构对申请者的身份审核范围分为:DV证书、OV证书、EV证书。

1.1.DV证书(域名证书)

DV(Domain Validated)证书是最常见的一种证书类型,大多数免费证书都此类证书。CA机构获取CSR证书请求后,从中取出域名,校验域名的所有权与证书申请者是否一致,一致代表身份审核通过,CA机构发放DV证书。
由于DV证书在审核时,CA不会对申请者的身份进行严格的审核,某些恶意的攻击者会通过一些方法(比如DNS劫持)冒充服务器实体向CA机构申请证书,CA机构可能会给攻击者签发恶意的证书。
一般来说,DV证书更适合于个人网站。
在这里插入图片描述

1.2.OV证书(机构证书)

对于OV(Organization Validated)证书,CA机构会对申请者的身份进行严格的审核,从而给用户(浏览器)提供更安全的信任。
CA根据严格的标准会审核申请者身份,比如说审核申请者的企业资质、企业地址等消息,确保申请者的身份是真实的。
一般来说,企业和政府机构一般会申请OV证书,由于审核申请者的身份需要时间,申请OV证书完成的时间比DV证书申请完成的时间要长。
在这里插入图片描述

1.3.EV证书

对于EV(Extended Validation)证书,CA机构会对申请者的身份进行更严格的审核,对于CA机构来说,CA机构会严格根据CA/Browser论坛制定的标准审核申请者的身份,该标准称为Baseline Requirement标准,是由浏览器厂商、CA等机构创建的。
Baseline Requirement标准包含的内容比较广泛:
◎审核证书申请者身份的标准。
◎浏览器嵌入CA根证书的标准。
◎企业成为CA机构的标准。
◎浏览器校验证书的标准,比普通DV证书有更严格的校验。
◎证书包含属性的标准。
读者在理解的时候要注意区分X.509标准和Baseline Requirement标准:
◎这两个标准是不同的组织制定的。
◎X.509标准更多规定证书的结构和组成,Baseline Requirement标准规定申请者身份审核的流程,一家组织要成为CA机构也必须符合该标准,签发的证书也要符合该标准(比如EV证书中包含申请者的企业名称)。
◎虽然X.509标准很完善,规定了证书的作用、证书链的校验,但如果CA机构随意签发证书,最终带来的危害是巨大的,所以Baseline Requirement标准的补充很重要,用于限制CA机构的行为,规范证书签发。
一般来说,银行、电商企业、政府机构会申请EV证书,申请EV证书完成的时间比OV证书申请完成的时间要长。
对于EV证书,CA机构需要申请者提供更多信息进行身份审核,比如:
◎营业执照
◎公司法人身份证
◎公司地址
在这里插入图片描述
对于CA机构来说,不同类型的证书有不同的审核标准,对于用户来说肯定更信任EV证书,读者如何知道获取的证书是OV、OV、EV呢?
对于DV、OV证书,浏览器地址栏上会出现一个绿色小锁图标,而对于EV证书,浏览器地址栏上除了绿色小锁图标,还会出现企业的名称,显然用户更信任部署EV证书的网站。
相比DV、OV证书来说,EV证书还有其他的一些区别:
◎申请EV证书需要的花费会更高。
◎提供EV证书的CA机构服务也更好,比如有7×24小时在线服务。
◎EV证书提供的功能也更多,比如支持证书透明度,证书兼容性也更好。
◎对于EV证书,浏览器会更严格地校验证书,比如Chrome默认只会对EV证书进行OCSP校验,要求所有的EV证书必须支持证书透明度。

2.根据域名进行分类

根据证书中域名(主机)数量也可以对证书进行分类,共有四种类型的证书。

2.1.单域名证书

一张证书包含一个域名,价格相对便宜。

2.2.泛域名(Wildcard Domain)证书

多个子域名,这些子域名组合在一起就是泛域名,比如example.com注册域的泛域名就是.example.com, .example.com泛域名可以包含www1.example.com、www2.example.com、www3.example.com等主机。
那为什么要用泛域名证书呢?举个例子,某个企业拥有一个注册域example.com,现在需要开展一项新业务,分配一个www1.example.com主机,为该主机申请了一张证书,过了一段时间,又开展了一项新业务,分配了一个www2.example.com主机,那么如何申请证书呢?有两种策略:
◎为www2.example.com主机新生成一张证书。
◎在原有www1.example.com证书上,新增加一个主机www2.example.com。
第一种方式的缺点就在于每个主机要单独申请证书,如果未来还要分配主机,就需要再申请证书,证书管理非常复杂。
第二种方式就是泛域名证书,可以将多个同级的主机合并到一张证书中,泛域名证书的优点就在于增加新主机时不用更新证书,新增主机本来就包含在泛域名证书中。
“多个同级的主机合并到一张证书中”是非常关键的一句话,比如www1.www.example.com主机和www2.www.example.com主机不能合并到.example.com泛域名证书中,只能合并到.www.example.com证书中。

2.3.SAN(Subject Alternative Names)证书(多域名证书)

对于中大型规模的公司来说,可能有多个注册域,如果需要将多个不同的注册域合并到一张证书中,就需要申请SAN证书,比如可以将www.example.com、www.example.cn合并到一张证书中,这种证书也称为多域名证书。

2.4.SAN范域名证书

这种类型的证书结合了SAN证书和范域名证书的特点,比如将www.example.com、www.example.cn、.example.org域名合并到一张证书中。
这种证书非常昂贵,大型企业为了方便管理证书,一般采用这种类型的证书。需要注意的是,一个企业不应该使用多级主机,读者可以思考,如果一个企业有example.com、example.cn、example.org注册域,还有
.www.example.com泛域名主机,如何申请证书?
在这里插入图片描述
最后需要强调的是,某些CA机构规定EV证书才能支持多主机或者泛域名,当然大部分CA机构没有该限制。

文章知识点与官方知识档案匹配,可进一步学习相关知识
网络技能树首页概览35186 人正在系统学习中

与[转帖]SSL数字证书分类DV/OV/EV相似的内容:

[转帖]SSL数字证书分类DV/OV/EV

SSL证书的分类主要是通过下面两个维度进行分类: 1.根据验证模式分类 根据CA机构对申请者的身份审核范围分为:DV证书、OV证书、EV证书。 1.1.DV证书(域名证书) DV(Domain Validated)证书是最常见的一种证书类型,大多数免费证书都此类证书。CA机构获取CSR证书请求后,从

[转帖]SSL 配置优化的若干建议

转载自本人博客:https://dev.tail0r.com/ssl-optimization/ 如果你配置SSL只是为了网站的网址前有一把锁的标志,那不如直接送你把锁好了。 别想了,这句话不是哪个安全专家说的,是我说的(逃) 今天写一篇文章记录一下自己 SSL 的配置优化过程。以下设置均为 Ngi

[转帖]SSL Certificate Exporter

https://github.com/ribbybibby/ssl_exporter Exports metrics for certificates collected from various sources: TCP probes HTTPS probes PEM files Kubernet

[转帖]何为SSL证书以及SSL证书的类型都有哪些

http://www.tuidc.com/helpinfo/28573.html 简述: 什么是SSL证书呢?我们都知道目前互联网安全威胁愈演愈烈,各类入侵、劫持事件层出不穷,欺诈、钓鱼网站比比皆是。https加密传输方案在传输层可有效防止他人截获,同时客户端浏 什么是SSL证书呢?我们都知道目前互

[转帖]Python3 ssl模块不可用的问题

https://www.cnblogs.com/minglee/p/9232673.html 编译安装完Python3之后,使用pip来安装python库,发现了如下报错: $ pip install numpy pip is configured with locations that requi

[转帖] 一次SSL握手异常,我发现JDK还有发行版区别

https://www.cnblogs.com/codelogs/p/16633704.html 简介# 最近,我们一个多机房部署的服务,调用方反馈有问题,在调用新加坡机房时正常,而调用印度机房则报SSL握手异常。 排查花了一些时间,同时也积累了一些经验,故记录一下,读完本文,你将了解到如下内容:

[转帖]一次SSL握手异常,我发现JDK还有发行版区别

https://www.cnblogs.com/codelogs/p/16633704.html 原创:扣钉日记(微信公众号ID:codelogs),欢迎分享,转载请保留出处。 简介# 最近,我们一个多机房部署的服务,调用方反馈有问题,在调用新加坡机房时正常,而调用印度机房则报SSL握手异常。 排查

[转帖]jmeter SSL证书相关配置

在实际工作中,我们大多数接口都是用的HTTPS来保证安全,使用jmeter测试HTTPS请求是如何配置证书呢? 1.最简单的方法,在选项里选择SSL管理器,然后选择相应的证书即可 在弹出的选择框选择证书即可,亲测可以使用.p12证书,因为我们公司用的是p12类型证书,当发起HTTPS请求时,如果设置

[转帖]SpringBoot配置SSL 坑点总结【密码验证失败、连接不安全】

文章目录 前言1.证书绑定问题2.证书和密码不匹配3.yaml配置文件问题3.1 解密类型和证书类型是相关的3.2 配置文件参数混淆 后记 前言 在SpringBoot服务中配置ssl,无非就是下载证书设置一下配置文件的问题,这里主要记录我在配置的过程中遇到的坑点。 如果是新手上道的话建议结合其他的

[转帖]IPSec VPN 与 SSL VPN 区别

https://www.cndba.cn/dave/article/3239 SSL VPN,与传统的IPSec VPN技术各具特色,各有千秋。SSL VPN比较适合用于移动用户的远程接入(Client-Site),而IPSec VPN则在网对网(Site-Site)的VPN连接中具备先天优势。这两