密码讲堂 | 第6讲 SSL证书有哪几种?如何正确选择SSL证书?2023年3月13日

点击 这里 阅读PDF版本(有全球信任和全球法律效力的数字签名和时间戳,版权所有,抄袭违法必究!转载请注明:转载自零信CEO博客)

第5讲讲到了SSL证书有三种:DV SSL证书、OV SSL证书和EV SSL证书,其实还有一种不常用的IV SSL证书。每一种SSL证书到底有什么不同?为何会出现这些不同类型的SSL证书?本讲详细讲解,并给出了笔者的SSL证书选用指南。

一、OV SSL证书的诞生

Netscape在1994年发明了SSL证书,就是现在大家常说的OV SSL证书,SSL证书中含有网站身份信息。笔者在第4讲讲SSL证书时就展示了SSL证书的目的是证明服务器的可信身份,如果服务器不可信,是一个假冒网站,那就应该提醒用户注意网站的身份,以免上当受骗。所以,从这个证书目的出发,SSL证书的主题信息中一定会有网站身份信息,包括单位名称、所在省市和国家等。笔者电脑中能找到的最老的SSL证书如下图所示,证书主题中的CN字段(Common Name 公用名称)为网站域名,OU字段为单位部门名称,O字段为单位名称,L字段为单位所在城市,S字段为单位所在省份,C字段为单位所在国家。这就是现在的OV SSL证书,全名为单位验证SSL证书(Organization Validated SSL Certificate, OV SSL)。

OV SSL OV SSL

也就是说,SSL证书发明出来时是只有OV SSL证书这一种证书的,那为何现在发展出DV SSL、IV SSL和EV SSL证书?首先,大家必须明白一个SSL证书的签发原则,即CA验证了什么信息,才可以在证书主题中显示什么信息,这是CA在签发数字证书的基本准则。所以,如果SSL证书中包含了网站域名、单位名称和单位注册信息,则CA机构一定要验证这些信息,这就是为何大家申请SSL证书都必须完成域名验证,验证网站域名的控制权。其次是CA必须验证的网站身份信息,这个需要人工处理,早期全球只有VeriSign一家签发SSL证书,所以,大家都得等VeriSign完成身份认证,VeriSign需要调查公司的注册信息、电话联系证书申请人核实证书申请信息和申请行为授权等,这就导致了签发一张SSL证书需要至少等一周时间。

二、DV SSL证书的诞生

随着SSL证书的慢慢普及应用,申请一张SSL证书需要一两周时间,这是用户接受不了的,所以GeoTrust创始人&CEO Neal Creighton,CTO Chris Bailey 和首席工程师Kefeng Chen (陈克峰)在2001年发明了现在的DV SSL证书(Domain Validated SSL Certificate),自动化完成域名验证后即刻签发SSL证书-QuickSSL,这个产品大受欢迎,因为用户再也不用等一周时间才能拿到SSL证书了,也是这个产品让GeoTrust一举拿下25%的SSL证书全球市场份额。如下图所示,早期的DV SSL证书也是从签发OV SSL证书的CA系统签发,所以仍然保留了O字段和OU字段,O字段填写了网站域名而不是单位名称。

DV SSL DV SSL

也就是说,GeoTrust发明了DV SSL证书后,SSL证书就有了两类:验证单位身份的OV SSL证书和只验证域名的DV SSL证书,而由于DV SSL证书可以实现自动化签发,所以不仅可以快速签发而且可以很便宜,甚至可以做到完全免费,这就使得SSL证书得到了快速普及应用,因为互联网也同时在全球飞速发展,需要大量的SSL证书。

三、EV SSL证书的诞生

随着DV SSL证书的普及使用,许多假冒银行网站也能申请到DV SSL证书,而浏览器显示DV SSL证书和验证网站身份的OV SSL证书一样有安全锁标识,这就无法帮助用户准确识别假冒银行网站。为此,CA/浏览器论坛于2006年推出了一种新的SSL证书类型—EV SSL证书,英文全名是Extended Validation SSL Certificate (扩展验证SSL证书), 意在更加严格地验证网站的身份,并在浏览器地址栏用绿色来突出显示部署了EV SSL证书的网站,绿色就是安全的意思,只要用户上网时看到地址栏变成了绿色,那这个网站就是可信网站!这是CA和浏览器产业界最伟大的创新,能非常简单直观地帮助网民识别什么网站是可信网站。最早显示绿色地址栏的浏览器是当时占绝对领导地位的IE浏览器,直到IE浏览器于2022年6月25日完全退出市场时还是能显示EV SSL证书的绿色地址栏。

EV SSL

至此,SSL证书就有了3种,分别是OV SSL证书、DV SSL证书和EV SSL证书,这是根据网站的身份认证严格程度分类的,DV SSL证书最简单,只验证域名所有权或控制权,可以完全自动化签发,所以可以做到免费。而OV SSL证书则需要验证证书主题中绑定的单位名称是否合法注册,并同时验证域名所有权或控制权。EV SSL证书则在OV SSL证书验证基础上需要验证申请单位不仅是合法注册的,而且是正常运营中,会验证是单位员工代表单位申请EV SSL证书,并且还需签订EV SSL证书用户协议,明确确认申请EV SSL证书是单位行为,申请证书必须有单位负责人授权签字,CA需要在验证单位电话号码后联系证书申请人完成电话验证。这三种SSL证书的主题信息分别如下3图所示,下左图为DV SSL证书的主题信息,只显示网站域名,因为只验证了域名;中图为OV SSL证书的主题信息,不仅显示网站域名,而且显示单位名称、所在省市和国家。右图为EV SSL证书的主题信息,不仅显示网站域名,而且显示单位名称、所在省市和国家,而且还会显示单位注册信息,包括注册号、所在省市和国家、单位注册类型(企业、政府机构、商业机构和非营利机构)。

EV SSL证书 EV SSL证书 EV SSL证书

四、IV SSL证书的诞生

随着大量的个人网站也需要部署SSL证书,除了可以申请无身份信息的DV SSL证书外,个人用户也可以申请OV SSL证书来展示其网站的可信身份,则个人姓名只能显示在O字段,这显得有点不伦不类,如下左图所示,o = Richard Wang。为了解决这个问题,笔者在2016年5月西班牙召开的第38次CA/浏览器论坛工作会议上提出了解决方案,在SSL证书国际标准中正式增加一种证书类型:IV SSL证书 (Individual Validated SSL Certificate),并增加两个专门的字段G (Given name,名字) 和 SN (Surname,姓)来显示个人的姓和名,如下右图所示,G=Richard和SN=Wang。

IV SSL IV SSL

笔者联合DigiCert的JeremyRowley和StartCom的Eddy Nigg共同发起了CA/浏览器论坛的第175号提案--在SSL证书主题信息中增加姓和名字段,提案获得通过,并在随后更新的SSL证书标准中体现这次修订,这标志着拥有专用字段的IV SSL证书正式诞生,笔者现在对此仍然感到非常的自豪。

IV SSL

至此,SSL证书就有了现在大家看到的4种,分别是OV SSL证书、DV SSL证书、EV SSL证书和IV SSL证书,而由于DV SSL证书的免费普及使用,个人用户一般都申请了DV SSL证书,所以,大家常见的SSL证书就只有 DV SSL证书、OV SSL证书和EV SSL证书。根据《中国SSL证书市场发展趋势分析简报-2022Q4》的统计数据,截止到2022年12月31日的数据,仅验证域名的DV SSL证书占比 83.81%,验证网站身份的OV SSL证书占比 16.12%,而扩展验证网站身份的EV SSL证书仅占比 0.07%。这就是目前的全球SSL证书的三种常用的SSL证书的签发比例。

导致高达84%的用户选择DV SSL证书的原因有两个:一是免费90天的DV SSL证书已经实现自动化申请、部署和续期,这是一个一劳永逸的方案而大受用户欢迎,把用户彻底从繁琐的证书申请工作解脱出来;二是常用的浏览器已经不再绿色地址栏特别显示EV SSL证书,各种SSL证书都是只显示安全锁标识,无法体现SSL证书中的身份信息的价值,所以,用户也就是不想费力费钱去申请无法自动化即刻签发的OV/EV SSL证书了。

五、SSL证书的分类

前面分别讲了四种SSL证书是如何产生的,这是根据网站身份认证方式不同而分类的,有仅验证网站域名控制权的DV SSL证书,有验证单位身份和域名控制权的OV SSL证书,有扩展验证单位身份和域名控制权的EV SSL证书,还要现在不太常用的验证个人身份和域名控制权的IV SSL证书。

而根据SSL证书绑定的域名类型分类,SSL证书可以分为单域证书、通配证书和多域证书。绑定一个域名的SSL证书称之为单域型SSL证书、绑定通配域名(*.domain.com)的SSL证书称之为通配型SSL证书、绑定多个单域或通配域名的SSL证书称之为多域型SSL证书。其中EV SSL证书不支持通配型,因为无法保证用户不会把通配证书中绑定的扩展验证身份信息用于其他非此身份的子域名网站。上面第三节的截图中第一个是DV SSL通配型证书,第二个是OV SSL通配型证书,第三个是EV SSL证书单域型证书。

六、SSL证书有效期

SSL证书在诞生时并没有证书有效期的限制,可以是5年或者10年,但是随着SSL证书的广泛使用,特别是2005年5月17日由VeriSign和Comodo牵头成立国际标准组织-CA/浏览器论坛,出台了一系列SSL证书标准,SSL证书有效期就开始从5年缩短到3年、2年、1年,这是考虑到电脑算力,特别是互联网算力的不断提升,太长有效期的密钥有可能被破解而威胁到https加密的安全。

根据谷歌于3月3日发布的根认证策略的预告,谷歌将推动SSL证书的有效期再次缩短到90天!意在推动SSL证书的自动化部署、提升SSL证书的安全性和生态系统的敏捷性,为下一步轻松过渡到抗量子算法的SSL证书做准备。估计这个革命性的变化会在今年年底或明年实现,这个动态值得SSL证书相关产业包括SSL证书提供商和SSL证书用户的高度重视。

七、SSL证书选用指南

最后一部分简单讲一下SSL证书的选用指南,其实根据三种类型的SSL证书签发统计数据已经给出了答案, DV SSL证书申请量已经占比 83.81%,而其中有80%的DV SSL证书都是自动化申请和部署的90天有效期的DV SSL证书,虽然CA机构不愿意看到这个结果,但是这是用户的选择。

笔者给出的建议是:政府网站只需要申请RSA/ECC算法的DV SSL证书即可,无需提供身份证明材料,这样不仅省钱和快速拿到证书,而且不会出现目前大量存在的政府网站部署的OV/EV SSL证书中的O字段为公司名称的“错误”证书。而为了国密合规,则必须是部署双算法双SSL证书,推荐的搭配是国际DV SSL证书和国密OV/EV SSL证书,由国密SSL证书来体现网站的可信身份。而企业网站可以根据自己的网站特点和品牌知名度来决定选购DV、OV 或EV SSL证书,零信浏览器仍然会绿色地址栏显示部署了EV SSL证书或通过EV可信网站认证的网站和在地址栏显示单位名称,并且创新地浅绿色地址栏显示部署了OV SSL证书的网站和在地址栏显示单位名称。

IV SSL
IV SSL
IV SSL
IV SSL
下一讲内容预告|第7讲 浏览器是如何验证SSL证书的?
本讲重点讲一讲浏览器是如何验证SSL证书并根据验证结果展示不同的UI,并讲一下零信浏览器在这方面的创新。