为打造竞争有序的市场环境,提倡公平、透明、诚信、有序的市场环境,对此公布SSL证书通用参数。
SSL证书通用参数表
序号 | 通用参数 | 说明 |
1 | TLS 1.3、TLS 1.2、TLS 1.1、TLS1、SSL2、SSL3 | 用户自己的服务器加密套件配置【与SSL证书无关】 |
2 | 哈希签名算法:SHA256、SHA384、SHA512 | 用户生成CSR请求文件为准 SSL证书标准算法:SHA256 |
3 | 支持非对称加密算法 RSA、ECC、DSA、SM2国密 | 国际通用算法RSA、ECC二选一,DSA已经淘汰。 SM2国密理论井底用,不能上岸 |
4 | RSA加密位数:2048、4096、8192,ECC加密位数:prime256v1、secp384r1、secp521r1 | 用户生成CSR请求文件为准 SSL证书标准加密位数:2048 |
5 | 加密强度128-256位(支持2048、3072、4096公钥加密) | 全球通用 SM2国密算法SHA256 |
6 | 国内提供商认证、国内自主签发 | 国内所有提供商都支持国内提交认证、国内自主申请签发 |
7 | 售后支持7*24小时技术支持,远程安装、更换域名、换证书(有效期)、协助安装、不限制安装次数、技术文档提供 | SSL证书都具备 |
8 | 先用后付款 | 结算方式 自行选择 |
9 | 7*24小时漏洞扫描 | SSL证书都具备 |
10 | 双证书认证:SSL证书+网站安全证书 | SSL证书都具备 (网站加密证书是指网站底部放个代码就会显示一个标志,该标志也称之为签章,因为影响网站整体美观性,而且看起来像是广告,所以很少有人挂) |
11 | 浏览器兼容、多物理服务器许可、安全检查工具、每日恶意代码扫描、每周漏洞苹果扫描、SAN(UC)支持、免费更新重签、符合国际标准、走国内数据 | SSL证书都具备 全球4家机构都支持:GlobalSign(国内数据)、DigiCert(国内数据)、Sectigo、Certum |
12 | 128-256强制加 密可签发TLS1.3协议证书 | SSL证书自带 用户自己的服务器加密套件配置【与SSL证书无关】 |
13 | 支持99.9%的电脑和手机浏览器、操作系统 | 全球4家机构支持:GlobalSign、DigiCert、Sectigo。 波兰Certum机构原厂证书支持,非原厂兼容性90%。 |
14 | 免费无线服务器安装授权(Tomcat、other、Ngninx、IIS、apache、aliyun等),多台服务器安装证书,无额外费用 | SSL证书都具备 |
15 | DV、OV、EV、通配符(支持主域名及下属的所有二级域名无数量限制)、单域名(一个主域名或者一个子域名)、多域名(多个不同的域名合并一本证书)、多域名通配符(多个通配符证书合并一本证书) | SSL证书都具备,根据自己的需要申请时选择,功能全球统一 |
16 | HTTP/2、新型的TLS配置、支持TLS 1.3、期望CT、OCSP装订、预防降级攻击、正向保密、HTTP严格传输安全(HSTS)..... | 服务器加密套件配置【和SSL证书无关,SSL证书都具备】 |
17 | CAA | 域名本身就具备(可有可无) |
18 | 支持国产SSL证书的全球机构 | 1、Globalsign全球机构拥有中国独资企业。主要用户:中国政府网、工业和信息化部网络安全产业发展中心(工业和信息化部信息中心)、百度、腾讯、阿里巴巴等。 2、DigiCert全球机构在中国拥有独资外资企业。主要用户:中国互联网络信息中心、中国商务部。 |
19 | 支持5G网络IPV4及IPV6地址加密访问 | 【不属于SSL证书参数,属于服务器接入网络参数】 |
20 | 支持IDN中文域名 | SSL证书都具备 |
21 | 证书主题字段支持中文证书主题的 CN、O、OU、L、S、Street 字段都支持中文。 | SSL证书都具备,用户自己选择,使用中文认证那么就显示中文,使用英文认证显示英文 |
22 | 支持证书状态在线查询协议(OCSP),OCSP响应服务部署在全球(含国内)。 | OCSP所有SSL证书都支持 OCSP国内网络支持CA机构:GlobalSign、DigiCert(GeoTrust\Thawte),本质与安全性无关。 |
23 | 支持证书吊销列表 (CRL) | SSL证书都具备 |
24 | 可部署服务器数:无限制 | SSL证书都具备 |
选择SSL证书主要看:证书类型、验证等级、CA机构
证书类型:单域名、通配符、多域名、多域名通配符、多域名通配符和单域名混合类型【根据自己的域名数量选择适合类型】
验证等级:DV(域名验证)、OV(实名验证)、EV(扩展验证)【无论企业还是事业单位、机关单位、自然人、都可以选择DV类型,DV类型可以用于电子商务、小程序、门户网站、内容类型网站、API接口等所有场景】
CA机构:全球99.9%机构仅有:GlobalSign、DigiCert、Sectigo、Certum
国产SSL证书仅有CFCA机构兼容性65%,GlobalSign、DigiCert两个机构也符合国产SSL证书!
杜绝使用:套牌、挂牌、虚假宣传的SSL证书产品。
辟谣:中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部等没有要求一定要用国产SSL证书,有些人为了利益发布谣言!
SSL证书密钥(私钥)存储在服务器,除服务器管理者,任何人都拿不到密钥(私钥),CA机构(无论国内还是国外)仅提供根证书预设带来浏览器默认信任,就是因为信任问题是导致中国目前没有99%兼容性SSL证书主要原因,目前可以选择GlobalSign(中国签发)、DigiCert(中国数据)、CFCA(中国签发)。
案例:
使用GlobalSign机构:中国政府网、工业和信息化部
使用CFCA机构:国家互联网信息办公室
使用DigiCert颁发机构:中国互联网络信息中心
了解其它问题?
1、原厂SSL证书和非原厂SSL证书的区别:https://www.gworg.com/problems/1588.html
2、了解国产SSL证书:https://www.gworg.com/problems/1584.html