目录:

安全证书的分类与费用

分享本文:

Share Buttons
文章目录

外贸网站部署免费的安全证书即可,如果想知道各种安全证书的功能和费用差异,可以看看这篇文章。

三种发证机构

用于互联网加密传输的安全证书,按证书颁发机构(Certificate Authority,简称CA)可以分成三种:

  • 全球公开可信 CA。内置在浏览器的信任列表中,受浏览器信任。
  • 企业私有内部 CA。仅内网使用,手动上传证书到内网后在本地设备生效。
  • 无CA(自签)。自己在服务器上生成安全证书,也可以实现加密,但浏览器不信任。

三个层级的核验严格程度

无论有没有CA、是内部CA还是全球公开可信 CA,都可以实现加密功能,且加密方法、安全强度都是完全一样的。其中,全球公开可信 CA 颁发的 SSL 证书,会根据对申请者身份核验的严格程度有所区分:DV < OV < EV。严格的可以兼容宽松的,比如,只有 DV 资质的 CA 只能签发 DV,而拥有 EV 资质的机构三种证书都可以签发。

缩写完整英文签发机构校验内容核验方式机构数量
DVDomain Validated域名所有权线上自动化程序40+
OVOrganization Validated以上 + 企业工商信息人工电话确认30+
EVExtended Validated以上 + 法律资质人工实地调查7

要不要考虑付费证书?

CA 证书颁发后,用户、浏览器、安全厂商、支付平台、审计机构都能看到核验结果,用于风险判定。核验严格程度不同的证书,包含的内容也不同。

DV 证书

就数据加密和获取浏览器信任这两个需求而言,Let’s Encrypt 签发的免费 DV 证书已经足够。通过WP专用主机或者宝塔等可视化建站面板,都可以一键签署并实现自动续签。如果自己实在不懂安装和续签,也可以购买付费的 DV 证书,让服务商帮忙装好。

示例:DeepSeek、站长工具的网站用的都是 DV 证书,由于 CA 只核验了域名,证书里只写域名,不写组织名称。

安全证书的分类与费用
安全证书的分类与费用

付费的 OV 证书

DV 只验证域名所有权,但是有一些场合还需要核验企业的工商资质。CA 在签发 OV 证书前,需要审核企业的营业执照、工商存续状态、法人身份、注册电话,还会拨打企业工商登记预留座机、官网公示企业总机,和企业授权联系人通话确认。

示例:B站、360官网用的都是 OV 证书,证书里既有域名,也有组织名称,表示 CA 已经核验过该企业的工商资质,且域名是属于这家企业的。

安全证书的分类与费用
安全证书的分类与费用

付费的 EV 证书

这是最严格的审核标准,需要在完成DV、OV全部审核项的基础上,核验邓白氏编码、持牌经营许可证,进行多轮交叉背调,还要上门实地核验、拍照存档。并且每年都要完整复审。

2007~2018年,拥有 EV 证书的网站,浏览器地址栏会变成绿色并显示绿锁和企业名称,全球有效 EV 峰值超 30 万张。

2019年后,主流浏览器陆续移除绿色地址栏,不再显示绿锁和企业名称,EV 需求下骤降,到2026年,全球有效的 EV 证书只剩下 3.4 万张。

目前,EV 证书主要是银行、证券、大型支付平台等为了满足审核要求仍在使用。

安全证书的分类与费用

各种证书的费用

数据来源:https://sectigo.cn/ssl-certificates-tls

安全证书的分类与费用

安全证书在外贸网站中的应用

在外贸建站中,我们主要用到 Let’s Encrypt 签发的免费 DV 证书。Let’s Encrypt 一家独占全球证书量的 50%,其发证机构受四大主流浏览器(Chrome、Firefox、Safari、Edge)信任,可以很好地满足外贸业务需求。

即使网站需要在线结算功能,付款环节通常是跳转到金融机构的网站完成的,金融机构按金融监管要求部署 OV/EV 证书即可,我们自己的 WordPress 网站还是可以使用免费的 DV 证书。

比如:网站增加 Paypal 付款功能,结算时跳转到 paypal.com,Paypal 已经按照金融监管的要求部署了 EV 证书,这样就是合规的。如果收款功能由支付宝提供,结算时跳转到支付宝的网站,支付宝已经按照国内金融机构的监管部署了 OV 证书,这样也是合规的。

安全证书的分类与费用
安全证书的分类与费用
  • 欧美持牌支付平台受 PCI DSS 约束必须部署 EV 证书,国内支付机构按国内监管规范使用 OV 证书

Let’s Encrypt 是怎么实现免费的?

Let’s Encrypt 可以在线上全自动完成证书的签发、校验、续期,成本压缩到最低。负责这个项目的人数非常少,初代系统是由 6 个人搭建的,目前整个技术团队也只有十多名工程师。

这个项目由美国的非营利组织 ISRG(互联网安全研究小组) 运营,它有来自全球几十家巨头的长期大额赞助,签发证书需要用到的服务器、CDN 带宽资源也大多由这些大厂无偿捐赠。普及免费 HTTPS 可以降低这些科技企业反钓鱼、防劫持的安全运维成本,属于投小钱,省大钱的操作。

分享本文:

Share Buttons