SSL证书通用参数

发布时间:2024/9/24 9:56:40 打印 字号:

为打造竞争有序的市场环境,提倡公平、透明、诚信、有序的市场环境,对此公布SSL证书通用参数。


SSL证书通用参数表

序号通用参数说明
1TLS 1.3、TLS 1.2、TLS 1.1、TLS1、SSL2、SSL3用户自己的服务器加密套件配置【与SSL证书无关】
2哈希签名算法:SHA256、SHA384、SHA512用户生成CSR请求文件为准
SSL证书标准算法:SHA256
3支持非对称加密算法 RSA、ECC、DSA、SM2国密国际通用算法RSA、ECC二选一,DSA已经淘汰。
SM2国密理论井底用,不能上岸
4RSA加密位数:2048、4096、8192,ECC加密位数:prime256v1、secp384r1、secp521r1用户生成CSR请求文件为准
SSL证书标准加密位数:2048
5加密强度128-256位(支持2048、3072、4096公钥加密)全球通用
SM2国密算法SHA256
6国内提供商认证、国内自主签发国内所有提供商都支持国内提交认证、国内自主申请签发
7售后支持7*24小时技术支持,远程安装、更换域名、换证书(有效期)、协助安装、不限制安装次数、技术文档提供SSL证书都具备
8先用后付款结算方式
自行选择
97*24小时漏洞扫描SSL证书都具备
10双证书认证:SSL证书+网站安全证书

SSL证书都具备

(网站加密证书是指网站底部放个代码就会显示一个标志,该标志也称之为签章,因为影响网站整体美观性,而且看起来像是广告,所以很少有人挂)

11浏览器兼容、多物理服务器许可、安全检查工具、每日恶意代码扫描、每周漏洞苹果扫描、SAN(UC)支持、免费更新重签、符合国际标准、走国内数据

SSL证书都具备

全球4家机构都支持:GlobalSign(国内数据)、DigiCert(国内数据)、Sectigo、Certum

12

128-256强制加

密可签发TLS1.3协议证书

SSL证书自带
用户自己的服务器加密套件配置【与SSL证书无关】
13支持99.9%的电脑和手机浏览器、操作系统全球4家机构支持:GlobalSign、DigiCert、Sectigo。
波兰Certum机构原厂证书支持,非原厂兼容性90%。
14免费无线服务器安装授权(Tomcat、other、Ngninx、IIS、apache、aliyun等),多台服务器安装证书,无额外费用SSL证书都具备
15DV、OV、EV、通配符(支持主域名及下属的所有二级域名无数量限制)、单域名(一个主域名或者一个子域名)、多域名(多个不同的域名合并一本证书)、多域名通配符(多个通配符证书合并一本证书)SSL证书都具备,根据自己的需要申请时选择,功能全球统一
16HTTP/2、新型的TLS配置、支持TLS 1.3、期望CT、OCSP装订、预防降级攻击、正向保密、HTTP严格传输安全(HSTS).....服务器加密套件配置【和SSL证书无关,SSL证书都具备
17CAA域名本身就具备(可有可无)
18支持国产SSL证书的全球机构1、Globalsign全球机构拥有中国独资企业。主要用户:中国政府网、工业和信息化部网络安全产业发展中心(工业和信息化部信息中心)、百度、腾讯、阿里巴巴等。

2、DigiCert全球机构在中国拥有独资外资企业。主要用户:中国互联网络信息中心、中国商务部。
19支持5G网络IPV4及IPV6地址加密访问【不属于SSL证书参数,属于服务器接入网络参数】
20支持IDN中文域名SSL证书都具备
21证书主题字段支持中文证书主题的 CN、O、OU、L、S、Street 字段都支持中文。SSL证书都具备,用户自己选择,使用中文认证那么就显示中文,使用英文认证显示英文
22支持证书状态在线查询协议(OCSP),OCSP响应服务部署在全球(含国内)。

OCSP所有SSL证书都支持

OCSP国内网络支持CA机构:GlobalSign、DigiCert(GeoTrust\Thawte),本质与安全性无关。

23支持证书吊销列表 (CRL)SSL证书都具备
24可部署服务器数:无限制SSL证书都具备


选择SSL证书主要看:证书类型、验证等级、CA机构

证书类型:单域名、通配符、多域名、多域名通配符、多域名通配符和单域名混合类型【根据自己的域名数量选择适合类型】

验证等级:DV(域名验证)、OV(实名验证)、EV(扩展验证)【无论企业还是事业单位、机关单位、自然人、都可以选择DV类型,DV类型可以用于电子商务、小程序、门户网站、内容类型网站、API接口等所有场景】

CA机构:全球99.9%机构仅有:GlobalSign、DigiCert、Sectigo、Certum

国产SSL证书仅有CFCA机构兼容性65%,GlobalSign、DigiCert两个机构也符合国产SSL证书!

杜绝使用:套牌、挂牌、虚假宣传的SSL证书产品。

辟谣:中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部等没有要求一定要用国产SSL证书,有些人为了利益发布谣言!

SSL证书密钥(私钥)存储在服务器,除服务器管理者,任何人都拿不到密钥(私钥),CA机构(无论国内还是国外)仅提供根证书预设带来浏览器默认信任,就是因为信任问题是导致中国目前没有99%兼容性SSL证书主要原因,目前可以选择GlobalSign(中国签发)、DigiCert(中国数据)、CFCA(中国签发)


案例:

使用GlobalSign机构:中国政府网、工业和信息化部

使用CFCA机构:国家互联网信息办公室

使用DigiCert颁发机构:中国互联网络信息中心



了解其它问题?

1、原厂SSL证书和非原厂SSL证书的区别:https://www.gworg.com/problems/1588.html

2、了解国产SSL证书:https://www.gworg.com/problems/1584.html