数字证书管理服务提供了多种类型和品牌的通配符证书、多域名证书和混合域名证书,适用于不同域名类型和规模的网站。您可参考本文选择最适合的SSL证书。
快速选型
影响SSL证书选型的因素较多,如购买预算、域名类型和数量、加密安全等级、加密算法、兼容性等。
个人用户选型示例如果您自己搭建了一个个人网站或博客,无数据传输需求,仅用于展示网站内容,可以参考下方表格,选择合适的SSL证书。
考虑因素
业务特征
推荐选型
域名类型和数量
仅需绑定1个域名(您只有1个网站和一个单域名)
选择单域名证书,即一张SSL证书对应保护一个域名。
验证强度、安全等级
证书签发验证流程简单快速,但安全等级一般
选择DV证书,CA机构仅验证域名的真实性,最快10分钟即可签发。
证书加密算法
无特殊加密需求,只需兼容主流浏览器
选择RSA算法,几乎兼容所有的浏览器。
证书品牌、预算
有保障、价格低
选择Alibaba Cloud品牌,价格最低。
如果您是企业用户,请访问产品详情页,咨询技术专家。
按场景选型证书价格SSL证书的价格和证书类型、品牌等因素有关。
根据证书价格选择SSL证书
价格总览
下表展示了各品牌SSL证书的单域名、通配符域名、多域名的售卖价格,请您根据实际需求和预算选购。
重要
证书零售价格仅供参考,实际证书价格请以证书服务购买页为准。
各证书品牌价格对比证书品牌
证书类型
域名类型
价格(美元/张/年)
备注
Alibaba Cloud
DV
单域名
99
/
通配符域名
199
/
DigiCert
DV
单域名
149
/
通配符域名
629
/
OV
单域名
OV SSL:484
OV_PRO SSL:1,325
/
通配符域名
OV SSL:2,309
OV_PRO SSL:4,717
/
EV
单域名
EV SSL:1,118
EV_PRO SSL:1,837
/
GlobalSign
DV
单域名
249
/
通配符域名
849
/
OV
单域名
349
/
通配符域名
949
/
多域名
749
默认包含5个单域名。
SSL证书需配合绑定域名或IP才能生效,您的网站绑定的域名类型和数量,直接决定了您需要申请何种类型、多少张SSL证书。
根据网站域名类型和数量选择SSL证书
阿里云支持申请单域名、多域名、通配符域名(泛域名)和混合域名证书。下表为您介绍不同域名类型的区别以及与证书相关的说明。
域名类型 选型说明 默认赠送域名规则 注意事项 单域名 一张证书只能绑定一个域名或一个公网IP(IPv4)。 申请主域名证书,默认赠送www子域名。示例:申请example.com,赠送。
申请www子域名证书,默认赠送主域名。示例:申请,赠送example.com。
支持赠送的品牌:DigiCert、GlobalSign、Alibaba Cloud
说明
申请证书时,域名验证方式如果选择文件验证,则不赠送。
仅Globalsign品牌的OV单域名证书支持绑定IP。
多域名
一张证书同时绑定多个单域名(主域名、子域名或公网IPv4地址)。如果您的网站拥有多个主域名或子域名,可以选择多域名证书。
说明
通过阿里云申请多域名证书时,最多支持包含5个单域名。
赠送规则和限制,同单域名。
多域名包含公网IPv4地址时,需要确保SSL证书为GlobalSign品牌的OV类型证书。
通配符域名
通配符域名指主域名及其所有次级子域名。如果您的网站主域名下有多个次级子域名,仅需购买一张通配符证书即可。
通配符域名的匹配规则如下:
只能匹配同级别的子域名,不能跨级匹配。
说明
*.aliyundoc.com的一级域名证书可以匹配、example.aliyundoc.com等二级子域名,但不能匹配、developer.demo.aliyundoc.com等三级子域名。
购买申请阶段,一张证书只能包含一个通配符域名。
说明
如需将多张通配符域名证书合并为一张证书使用,请参见:。
申请通配符域名,默认赠送主域名。示例:
申请*.example.com,默认赠送example.com。
申请*.doc.example.com,默认赠送doc.example.com。
支持赠送的品牌:所有品牌。
说明
申请证书时,域名验证方式如果选择文件验证,则不赠送。
仅支持申请DV和OV证书。
混合域名
指同一张证书中包含多种类型的域名。例如,当您需要为一个证书同时绑定*.aliyundoc.com和demo.example.com两种域名时,该证书就属于混合域名证书。
说明
阿里云支持通过合并多个相同品牌、类型的证书,生成混合域名证书,您可以在购买证书阶段直接选择合并签发,或在后续证书申请时选择合并签发。具体操作,请参见购买正式证书或。
混合域名的赠送规则,与其中包含的具体域名类型的赠送规则一致。
OV和EV证书:所有品牌均支持。
DV证书:仅GlobalSign品牌支持DV类型证书的合并申请,且GlobalSign品牌的DV类型证书必须确保主域名一致,例如example.com仅支持合并a.example.com、a.b.example.com等域名,不支持合并example.cn、example01.com等域名。
SSL证书按照安全性、加密等级和审核方式的不同,可以分为:DV(域名型)、OV(企业型)、EV(企业增强型)三种类型,不同类型的SSL证书在安全性、支持品牌、适用网站类型等方面均有较大差异。
根据安全性和验证强度选择SSL证书
阿里云支持购买DV、OV、EV三种类型的SSL证书。
证书类型
适用网站类型
公信等级
认证强度
安全性
审核方式及资料
平均签发时长
DV(域名型)
个人网站、App服务、企业测试。
说明
没有企业营业执照的个人网站,只能申请DV型数字证书。
一般
一般,CA机构仅审核个人网站真实性。
一般
DNS验证。
1~15分钟
OV(企业型)
政府组织、中小型企业或教育机构等。
说明
建议购买OV及以上类型的数字证书。
高
高,CA机构审核组织及企业真实性。
高
邮件或电话。需提交验证域名、公司信息、营业执照等。
5个自然日
EV(企业增强型)
大型企业、金融机构、电商等涉及交易支付和隐私数据的高私密网站。
说明
建议购买EV型证书。
最高
最高,严格认证。
最高
邮件或电话。需提交验证域名、公司信息、营业执照等。
5个自然日
SSL证书常用的加密算法有RSA、ECC等,不同加密算法在安全等级、性能效率、兼容性、应用场景上均有差异。
根据加密算法选择SSL证书
阿里云SSL证书支持的加密算法为RSA、ECC,如果您的业务对算法的类型和性能有要求,可以参考以下内容选择证书。
国际标准算法:
RSA:一种广泛应用的非对称加密算法,在兼容性和普遍适用性上表现最好;
ECC(椭圆曲线加密算法):晚于RSA出现,和RSA相比更先进、更安全,且加密速度快、效率更高、资源消耗更低,已在主流浏览器中得到推广。
说明
RSA和ECC算法的SSL证书都可用于Web站点、小程序、App等应用场景,但在确保性能、兼容性和满足特性合规要求时,需要进行评估和规划。
对比项
RSA算法
ECC算法
安全性与密钥长度
长度要求较高。支持的密钥长度为2048位和4096位。
相对较小的密钥长度即可达到相同安全级别。
256位:相当于RSA 2048位密钥所提供的安全性。
384位:相当于RSA 3072位密钥所提供的安全性。
性能效率/加解密速度
慢。
快。尤其在有限资源环境下表现更优,例如移动设备、物联网(IoT)设备等。
内存和CPU占用
高。
低。
兼容性
好。
较好,稍逊于RSA。
各品牌和类型的SSL证书的算法支持性:
证书品牌
证书类型
RSA
ECC
签名算法
密钥长度
签名算法
密钥长度
SHA256withECDSA
SHA384withECDSA
2048
4096
prime256v1
secp384r1
SHA256withRSA
SHA384withRSA
DigiCert
DV
OV
EV
GlobalSign
DV
OV
Alibaba Cloud
DV
说明
SSL证书签名算法默认采用SHA256withRSA或SHA256withECDSA,暂不支持在数字证书管理服务控制台选择哈希函数为SHA384的签名算法,如需使用该签名算法签发证书,您需要本地创建CSR文件并将CSR文件上传至控制台。具体操作,请参见如何制作CSR文件和。
证书品牌证书品牌一般不作为首次选型的首要考虑因素,只有当您续费证书或希望在新业务中继续使用相同品牌的证书时,可以考虑优先确定证书品牌减少干扰项,购买同品牌、同规格的证书。
根据证书品牌选择SSL证书
目前国际比较知名的品牌有DigiCert、GlobalSign等。在选择证书品牌时,您需要考虑品牌支持的证书类型、签名算法类型、密钥长度、域名类型以及价格等因素,并结合自身的业务需求和预算进行综合考量。
说明
如果仍不能确认证书品牌,您可以访问产品详情页,进行技术专家评测咨询。
证书品牌
证书认证机构
说明
DigiCert
DigiCert, Inc.
DigiCert(原Symantec)是知名的数字证书颁发机构、值得信赖的SSL证书品牌,所有证书都采用业界先进的加密技术,为不同的网站和服务器提供安全解决方案。
GlobalSign、Alibaba Cloud
GMO GlobalSign Pte Ltd.
GlobalSign是较早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的CA和SSL数字证书提供商。相较于其他品牌证书,Alibaba Cloud品牌证书价格更为优惠。
