VPS推荐

3类SSL证书如何选择:商业、自签名或Let’s Encrypt

Pinterest LinkedIn Tumblr

SSL/TLS 证书有助于验证起始服务器的身份,防止攻击者冒充起始服务器以访问用户数据。在搬瓦工Vultr等VPS服务器上使用私钥进行解密,可以确保不受任何中间人的干扰。传输层安全性 (TLS) 技术是安全套接字层 (SSL) 技术的后继者。本文解释了 SSL 证书的类型,为SSL证书如何选择提供参考。

SSL证书如何选择HTTPS

选择SSL/TLS证书的类型

SSL 证书有多种类型,涵盖不同级别的覆盖范围。基本的 SSL 证书只能保护一个域名。然而,在许多情况下,超过一个域名、子域名或 IP 地址需要 SSL 证书。

以下是不同类型的 SSL 证书。

  • 单域名证书
  • 多域名证书
  • 通配符证书
  • IP 地址证书

单域名证书可以保护单个完全限定域名 (FQDN) 及其所有页面。例如,发放给 example.com 的单域名证书可以保护 example.comexample.com/*

多域名证书可以除了保护所有页面之外,还保护多个 FQDN。与单域名证书不同,此证书可以保护多个域名。例如,多域名证书可以使用同一证书保护 example.comexample.net

通配符证书可以保护属于同一域名的所有子域名。例如,为 example.com 发放的通配符证书可以使用同一证书保护 www.example.comapp.example.com 或任何其他子域名。

IP 地址证书可以保护在没有主机名的情况下运行的服务。它类似于单域名证书,但是使用 IP 地址而不是 FQDN。

SSL证书如何选择

不同的 SSL 验证级别

认证机构 (CA) 是验证证书签名请求 (CSR) 主题并为该主题签名和认证公钥的实体。CSR 的主题可以由 IP 地址、域名或多个域名组成,如前一节所述。通常,自签名证书没有任何验证级别。

以下是不同的 SSL 验证级别。

  • 域验证 (DV)
  • 组织验证 (OV)
  • 扩展验证 (EV)

DV 级别 是最低的验证级别。Let’s Encrypt CA 只发放 DV 证书。在此级别,CA 仅验证 CSR 中提到的域名的所有权。DV 级别不涵盖发放给 IP 地址的证书。CA 通常通过向域管理员发送电子邮件、设置 TXT DNS 记录或将验证文件放置在 Web 目录中来验证域名的所有权。

OV 级别 比 DV 证书更高的验证级别。在此级别,CA 验证请求证书签名的组织的真实性。OV 证书提供更多的用户信任,并且通常由在线企业、政府机构等使用。

EV 级别 是最高的验证级别。除了组织验证外,在 EV 级别,CA 还验证主题的独占权、物理存在、合法性等。EV 证书保护组织的身份并为用户提供最高级别的信任。它们通常由大型企业、金融服务等使用。

自签名 SSL 证书

顾名思义,自签名证书使用自己的私钥进行签名。它不需要任何认证机构的验证。这些证书通常用于开发或测试目的的内部环境。由于缺乏 CA 签名,Web 浏览器默认将这些证书视为不受信任的。您可以在 Web 浏览器或操作系统中手动将这些证书标记为可信。

  • 有效期:自定义
  • 可用类型:
    • 单域名
    • 多域名
    • 通配符
    • 任何 IP 地址

您可以使用大多数操作系统上安装 OpenSSL 库来使用 openssl 实用程序生成自签名证书。它允许您生成私钥和公钥,您可以使用它们来保护任何 SSL/TLS 启用的服务。有关更多信息,请参阅 openssl-req 文档。

使用自签名证书完全免费,最适合内部环境。您可以为上述任何对象生成这些证书。与任何其他证书不同,这是您唯一可以与私有 IP 地址绑定的证书。此外,这些证书没有到期期限的最大限制。

如果您生成多个自签名证书,可以设置专用证书颁发机构并将其分发给用户。私人证书颁发机构确保浏览器信任其发行的所有证书,而不是将每个证书标记为可信。

Let’s Encrypt SSL 证书

Let’s Encrypt CA (R3) 通过验证 DV 级别 的所有权签署这些证书。这些证书具有短期有效性,以减少由受损服务引起的滥用。Let’s Encrypt 提供了自动证书管理环境 (ACME) 协议,该协议自动颁发和更新 SSL 证书。它通过在定期间隔后验证所有权来弥补短有效期带来的不便,从而自动更新 SSL 证书。

  • 有效期:90 天
  • 可用类型:
    • 单域名
    • 多域名
    • 通配符

您可以使用官方 ACME 客户端 certbot 生成 Let’s Encrypt 证书。默认情况下,它使用 HTTP-01 挑战验证域名的所有权,该挑战需要网站是公开可访问的。您可以使用 DNS-01 挑战在本地环境或任何非 Web 服务中颁发证书。有关更多信息,请参阅 [certbot](<https://certbot.eff.org/instructions>) 说明。

注意: Let’s Encrypt ACME 协议服务器有速率限制,限制用户颁发过多 SSL 证书。如果您想尝试 Let’s Encrypt SSL 证书,请切换到暂存 ACME 服务器以避免被阻止。有关更多信息,请参阅 暂存环境文档。

Web 浏览器信任 Let’s Encrypt CA 颁发的 SSL 证书。它比自签名证书具有更高的可信度,不需要用户将证书标记为安全。这些证书最适合用于个人博客、小型 Web 应用程序等服务。但是,Let’s Encrypt CA 不会为 IP 地址颁发证书。

您可以在单个证书中添加多达 100 个主机名,或颁发保护属于同一域名的所有子域名的通配符证书。ACME 协议使 Let’s Encrypt 证书成为 Docker 和 Kubernetes 等编排容器化环境的不错选择。

商业 SSL 证书

第三方认证机构通过在 DV、OV 或 EV 级别验证主题而发放 SSL/TLS 证书。所有 Web 浏览器都信任这些第三方 CA 颁发的证书,提供不同级别的信任和保护。但是,与前一节中提到的证书不同,这些证书肯定不是免费使用的。

  • 有效期:1 年
  • 可用类型:
    • 单域名
    • 多域名
    • 通配符
    • 公共 IP 地址

商业 SSL 证书的颁发过程是手动的。您可以从第三方证书供应商购买这些证书,要求您提交 CSR 并选择验证方法,验证后即可获得证书。这些证书的有效期为一年,大多数供应商提供多年套餐以折扣价格,但您需要每年重新颁发证书。

商业 SSL 证书通过提供更高的验证级别,如 OV 和 EV,提供额外的用户信任和品牌身份保护。这些证书最适合需要品牌身份保护和用户信任的网站,例如组织、电子商务、金融服务等。即使在最低级别,这些证书也可以保护在不支持 Let’s Encrypt 使用的 ACME 协议的服务器上运行的服务。您还可以请求 OV 或更高级别的 IP 地址的 SSL 证书。但是,它仅支持公共 IP 地址,而不像自签名证书可以保护私有 IP 地址。

商业 SSL 证书的价格从 5 美元开始,最高可达数千美元。这取决于所需 SSL 证书的类型和验证级别。通常,DV 级别证书是与 OV 或 EV 相比最便宜的选项。由于认证机构需要额外的努力来验证主题的所有权,因此更高的验证级别证书更昂贵。

SSL证书如何选择

结论

您了解了 SSL 证书的不同类型和各种所有权验证方法。您还比较了获得 SSL 证书的不同方式。不同选项之间的选择取决于应用程序和用例。虽然内部服务可以使用自签名 SSL 证书获得所有好处,但公共服务需要具有由大多数浏览器信任的证书颁发机构签名的 SSL 证书,以确保用户信心。商业 SSL 提供商提供的额外验证级别为您的服务提供了更多可信度,这对于容易受到不信任和欺骗攻击的服务(如电子商务、银行等)可能很有用。