数字证书管理服务已于2024年06月下旬将SSL免费证书更名为个人测试证书(免费版),将升级证书(有效期12个月)变更为个人测试证书(pro)。免费证书更名通知,请参见【通知】免费证书更名。
快速选型影响SSL证书选型的因素较多,如购买预算、域名类型和数量、加密安全等级、加密算法、兼容性等。以下以个人用户和企业用户的选型场景为例,向您说明在选型证书时需要综合考虑的场景及因素,仅供您参考。
个人用户选型示例如果您自己搭建了一个个人网站或博客,无数据传输需求,仅用于展示网站内容,可以参考下方图示和表格,选择合适的SSL证书。
考虑因素
业务特征
推荐选型
域名类型和数量
仅需绑定1个域名(您只有1个网站和一个单域名)
选择单域名证书,即一张SSL证书对应保护一个域名。
验证强度、安全等级
证书签发验证流程简单快速,但安全等级一般
选择DV证书,CA机构仅验证域名的真实性,最快10分钟即可签发。
证书加密算法
无特殊加密需求,只需兼容主流浏览器
选择RSA算法,几乎兼容所有的浏览器。
证书品牌、预算
有保障、价格低
RapidSSL:性价比高,1张DV证书价格约300-400元(实际价格以官网购买页为准)。
个人测试证书(免费版):每个自然年可免费申领20张,有效期3个月。
个人测试证书(pro):68元/张,有效期1年。
说明
假如您有一个自建个人网站,且已绑定一个域名,现在需要选购一张SSL证书以实现HTTPS方式加密传输数据,您可参考以下场景进行选购:
场景1:网站启动期,无需考虑合规封禁的问题,且无额外预算投入,可以选择购买个人测试证书(免费版)。
场景2:网站初期,无需考虑合规封禁的问题,希望使用一年有效期的证书以降低运维成本,可以选择购买有效期为1年的个人测试证书(pro)。
场景3:网站规模扩大进入稳定运营期,需要考虑合规封禁的情况,且有相应的预算投入,可以按需选择购买正式证书。
企业用户选型示例企业用户,可以参考下方图示,结合行业选型案例,选择合适的SSL证书。
行业
业务特征说明
案例
证书品牌
证书类型
加密算法
域名类型
金融、银行
网站地址栏需要展示企业身份信息
对数据传输安全性等级要求较高
中国银行
DigiCert
EV
RSA
单域名
教育、政府、互联网
网站后期有新增站点的需求
无需在网站地址栏展示政府单位或企业身份信息
阿里云、淘宝、天猫
GlobalSign
OV
RSA
通配符域名
新浪、今日头条
GeoTrust
上海黄金交易所
CFCA
用友软件
WoSign
说明
如果以上示例仍无法匹配您的实际业务需求,您可以继续阅读下方的进阶选型章节。也可以访问产品详情页或通过产品控制台的专家一对一服务入口,进行技术专家评测咨询。
按场景选型是否付费SSL证书的价格和证书类型、品牌等因素有关。阿里云除支持购买付费证书外,也提供了免费版的个人测试证书,供个人网站或测试使用。
根据是否付费选择SSL证书
阿里云提供了个人测试证书和正式证书两种证书,其中个人测试证书分为:个人测试证书(免费版)和个人测试证书(pro),购买流程请参考:购买个人测试证书、购买正式证书。
个人测试证书(免费版)vs 付费证书重要
个人测试证书仅用于个人网站或测试使用,不建议业务成熟的企业类型网站使用。企业类型网站,建议购买正式证书。
对比场景
个人测试证书(免费版)
付费证书
个人测试证书(pro)
正式证书
加密等级
一般
一般
高
兼容性
一般
一般
高
OCSP稳定性
较弱。不保证稳定性。
较弱。不保证稳定性。
高。保障OCSP验证稳定性。
SLA保障
说明
数字证书管理服务SLA,详见相关协议。
无
无
保障
CA中心安全保险赔付
不支持
不支持
支持
证书服务周期(有效期)
90天
12个月
最长397天
托管服务
(证书即将过期时,自动提交新证书的申请)
不提供,运维成本较高。
提供,支持最长3年的服务周期。
提供,支持最长3年的服务周期。
剩余有效期补齐
说明
剩余有效期补齐,是指补齐新证书和即将过期的旧证书有效期重合的时间段。例如,您待续费的旧证书于2024年08月01日过期,如果您在2024年07月20日完成续费购买和签发,那么新证书的有效期为2024年07月20日~2025年08月01日。
不支持
不支持
支持
证书数量限制
每个自然年可免费申请20张,需要更多证书时可付费购买
无限制
无限制
支持的域名类型
仅支持保护一个单域名。不支持后缀为特殊词的域名申请个人测试证书。例如.edu、.gov、.org、.jp、.pay、.bank、.live、.nuclear和.ru等。
仅支持保护一个单域名。不支持后缀为特殊词的域名申请个人测试证书。例如.edu、.gov、.org、.jp、.pay、.bank、.live、.nuclear和.ru等。
支持保护单域名、通配符域名、多域名。
IP证书
不支持
不支持
仅Globalsign、GeoTrust、vTrus、CFCA品牌的OV单域名证书支持绑定IP。
支持的证书类型
DV
DV
DV、OV、EV
证书合并申请
说明
证书合并申请是将多个品牌和类型相同的证书(域名)合并为一张证书签发,简化多证书的申请和管理流程。具体操作,请参见证书合并申请。
不支持
不支持
支持
人工客服支持
不支持
说明
免费版个人测试证书不支持任何免费的人工技术支持或安装指导。您可以参照阿里云官网帮助中心文档完成证书的安装部署。如需人工技术支持,建议您购买部署服务。
支持
支持
下表展示了各品牌SSL证书的单域名、通配符域名、多域名的售卖价格,请您根据实际需求和预算选购。
重要
证书零售价格仅供参考,实际证书价格请以证书服务购买页为准。
品牌类别
证书品牌
证书类型
域名类型
价格(元/张/年)
备注
国际
DigiCert
个人测试证书(免费版)
单域名
免费
有效期90天。
个人测试证书(pro)
单域名
68
有效期12个月。升级购买请参见个人测试证书升级。
DV
通配符域名
2,000
/
OV
单域名
DigiCert:5,600
DigiCert Pro:8,992
/
通配符域名
40,000
/
EV
单域名
DigiCert:8,992
DigiCert Pro:16,800
/
GeoTrust
OV
单域名
2,778
/
通配符域名
7,278
/
多域名
12,290
默认包含5个单域名。
EV
单域名
6,000
/
多域名
19,260
默认包含5个单域名。
GlobalSign
DV
单域名
1,980
/
通配符域名
6,930
/
OV
单域名
3,728
/
通配符域名
13,048
/
Rapid
DV
单域名
378
/
通配符域名
1,788
/
国产(SM2)
vTrus
DV
单域名
1,200
/
通配符域名
3,000
/
OV
单域名
4,000
/
通配符域名
12,000
/
CFCA
OV
单域名
4,000
/
通配符域名
15,000
/
EV
单域名
10,000
/
WoSign
DV
单域名
880
/
通配符域名
2,640
/
SSL证书需配合绑定域名或IP才能生效,您的网站绑定的域名类型和数量,直接决定了您需要申请何种类型、多少张SSL证书。
根据网站域名类型和数量选择SSL证书
阿里云支持申请单域名、多域名、通配符域名(泛域名)和混合域名证书。下表为您介绍不同域名类型的区别以及与证书相关的说明。
域名类型 选型说明 默认赠送域名规则 注意事项 单域名 一张证书只能绑定一个域名或一个公网IP(IPv4)。 申请主域名证书,默认赠送www子域名。示例:申请example.com,赠送。
申请www子域名证书,默认赠送主域名。示例:申请,赠送example.com。
支持赠送的品牌:DigiCert、GlobalSign、Rapid、GeoTrust、vTrus、WoSign
说明
申请证书时,域名验证方式如果选择文件验证,则不赠送。
仅Globalsign、GeoTrust、vTrus、CFCA品牌的OV单域名证书支持绑定IP。
多域名
一张证书同时绑定多个单域名(主域名、子域名或公网IPv4地址)。如果您的网站拥有多个主域名或子域名,可以选择多域名证书。
说明
通过阿里云申请多域名证书时,最多支持包含5个单域名,您可以在后续追加或合并域名,最多不超过250个。追加域名操作,请参见追加和更换域名。
赠送规则和限制,同单域名。
多域名包含公网IPv4地址时,需要确保SSL证书为GlobalSign、GeoTrust、vTrus、CFCA品牌的OV类型证书。
通配符域名
通配符域名指主域名及其所有次级子域名。如果您的网站主域名下有多个次级子域名,仅需购买一张通配符证书即可。
通配符域名的匹配规则如下:
只能匹配同级别的子域名,不能跨级匹配。
说明
*.aliyundoc.com的一级域名证书可以匹配、example.aliyundoc.com等二级子域名,但不能匹配、developer.demo.aliyundoc.com等三级子域名。
购买申请阶段,一张证书只能包含一个通配符域名。
说明
如需将多张通配符域名证书合并为一张证书使用,请参见:。
申请通配符域名,默认赠送主域名。示例:
申请*.example.com,默认赠送example.com。
申请*.doc.example.com,默认赠送doc.example.com。
支持赠送的品牌:所有品牌。
说明
申请证书时,域名验证方式如果选择文件验证,则不赠送。
仅支持申请DV和OV证书。
混合域名
指同一张证书中包含多种类型的域名。例如,当您需要为一个证书同时绑定*.aliyundoc.com和demo.example.com两种域名时,该证书就属于混合域名证书。
说明
阿里云支持通过合并多个相同品牌、类型的证书,生成混合域名证书,您可以在购买证书阶段直接选择合并签发,或在后续证书申请时选择合并签发。具体操作,请参见购买正式证书或。
混合域名的赠送规则,与其中包含的具体域名类型的赠送规则一致。
OV和EV证书:所有品牌均支持。
DV证书:仅WoSign、GlobalSign品牌支持DV类型证书的合并申请,且GlobalSign品牌的DV类型证书必须确保主域名一致,例如example.com仅支持合并a.example.com、a.b.example.com等域名,不支持合并example.cn、example01.com等域名。
SSL证书按照安全性、加密等级和审核方式的不同,可以分为:DV(域名型)、OV(企业型)、EV(企业增强型)三种类型,不同类型的SSL证书在安全性、支持品牌、适用网站类型等方面均有较大差异。
根据安全性和验证强度选择SSL证书
阿里云支持购买DV、OV、EV三种类型的SSL证书。
证书类型
适用网站类型
公信等级
认证强度
安全性
审核方式及资料
平均签发时长
DV(域名型)
个人网站、App服务、企业测试。
说明
没有企业营业执照的个人网站,只能申请个人测试证书或DV型数字证书。
一般
一般,CA机构仅审核个人网站真实性。
一般
DNS验证。
1~15分钟
OV(企业型)
政府组织、中小型企业或教育机构等。
说明
建议购买OV及以上类型的数字证书。
高
高,CA机构审核组织及企业真实性。
高
邮件或电话。需提交验证域名、公司信息、营业执照等。
5个自然日
EV(企业增强型)
大型企业、金融机构、电商等涉及交易支付和隐私数据的高私密网站。
说明
建议购买EV型证书。
最高
最高,严格认证。
最高
邮件或电话。需提交验证域名、公司信息、营业执照等。
GeoTrust、DigiCert品牌还需提交银行开户许可证。
CFCA品牌还需提交申请表、律师证、律师函经办人护照。
5个自然日
SSL证书常用的加密算法有RSA、ECC和SM2等,不同加密算法在安全等级、性能效率、兼容性、应用场景上均有差异。若您的网站有国密合规需求,则您需要重点关注本章节。
根据加密算法选择SSL证书
阿里云SSL证书支持的加密算法为RSA、ECC和国密SM2,如果您的业务对算法的类型和性能有要求,可以参考以下内容选择证书。
国际标准算法:
RSA:一种广泛应用的非对称加密算法,在兼容性和普遍适用性上表现最好;
ECC(椭圆曲线加密算法):晚于RSA出现,和RSA相比更先进、更安全,且加密速度快、效率更高、资源消耗更低,已在主流浏览器中得到推广。
说明
RSA和ECC算法的SSL证书都可用于Web站点、小程序、App等应用场景,但在确保性能、兼容性和满足特性合规要求时,需要进行评估和规划。
对比项
RSA算法
ECC算法
安全性与密钥长度
长度要求较高。支持的密钥长度为2048位和4096位。
相对较小的密钥长度即可达到相同安全级别。
256位:相当于RSA 2048位密钥所提供的安全性。
384位:相当于RSA 3072位密钥所提供的安全性。
性能效率/加解密速度
慢。
快。尤其在有限资源环境下表现更优,例如移动设备、物联网(IoT)设备等。
内存和CPU占用
高。
低。
兼容性
好。
较好,稍逊于RSA。
国密标准算法:
SM2:国家密码管理局发布的ECC椭圆曲线公钥密码算法,在中国商用密码体系中用来替代RSA算法。SM2算法的SSL证书适用于满足国密合规的用户。
各品牌和类型的SSL证书的算法支持性:
证书品牌
证书类型
RSA
ECC
SM2
签名算法
密钥长度
签名算法
密钥长度
签名算法
密钥长度
SHA256withRSA
SHA384withRSA
2048
4096
SHA256withECDSA
SHA384withECDSA
prime256v1
secp384r1
SM3withSM2
sm2p256v1
DigiCert
个人测试证书
DV
OV
EV
GeoTrust
OV
EV
GlobalSign
DV
OV
RapidSSL
DV
vTrus(国产)
DV
OV
CFCA(国产)
OV
EV
WoSign(国产)
DV
说明
SSL证书签名算法默认采用SHA256withRSA或SHA256withECDSA,暂不支持在数字证书管理服务控制台选择哈希函数为SHA384的签名算法,如需使用该签名算法签发证书,您需要本地创建CSR文件并将CSR文件上传至控制台。具体操作,请参见如何制作CSR文件和。
证书品牌证书品牌一般不作为首次选型的首要考虑因素,只有当您续费证书或希望在新业务中继续使用相同品牌的证书时,可以考虑优先确定证书品牌减少干扰项,购买同品牌、同规格的证书。
根据证书品牌选择SSL证书
目前国际比较知名的品牌有DigiCert、GlobalSign等,中国内地比较知名的有CFCA、WoSign等。在选择证书品牌时,您需要考虑品牌支持的证书类型、签名算法类型、密钥长度、域名类型以及价格等因素,并结合自身的业务需求和预算进行综合考量。
说明
如果仍不能确认证书品牌,您可以访问产品详情页或通过产品控制台的专家一对一服务入口,进行技术专家评测咨询。
分类
证书品牌
说明
优势
国际
DigiCert
Digicert(原Symantec)是全球领先的数字证书颁发机构(CA),值得信赖的SSL证书品牌。
支持诺顿安全认证签章
支持RSA/ECC加密算法
RapidSSL
RapidSSL是DigiCert旗下的子品牌,前身GeoTrust DV证书,于2022年01月下旬证书更名为RapidSSL,详情请参见。
支持RSA加密算法
DV证书性价比高
GeoTrust
Geotrust品牌是DigiCert(原Symantec)旗下子品牌,全球第二大数字证书颁发机构(CA)。
服务稳定、性价比高
支持诺顿安全认证签章
支持RSA/ECC加密算法
GlobalSign
GlobalSign是较早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的CA和SSL数字证书提供商。天猫、淘宝等大型电商网站采用了GlobalSign品牌证书。
支持诺顿安全认证签章
支持RSA/ECC加密算法
国产
CFCA
中国金融认证中心(CFCA)通过了国际WebTrust认证,遵循全球统一鉴证标准,是国际CA浏览器联盟的组织成员,可满足政府/金融等行业对SSL证书国产化的相关要求。
已通过微软、谷歌(安卓)、苹果、Mozilla的根证书项目认证,且根证书已预埋在相应的系统或设备中。
CFCA支持以下服务:
提供全球信任证书,由中国权威数字证书认证机构自主研发,纯国产证书。
提供7*24小时金融级的安全保障服务,具有完善的风险承保计划。
提供中文版全球信任体系电子认证业务规则(CPS),便于用户理解双方的权利和义务。
支持RSA/ECC/SM2加密算法
说明
CFCA证书目前不支持iOS 10.1及10.1以前的版本,不支持安卓6.0及以前的版本。
vTrus
vTrus是一个国产证书品牌,满足企业采购国产品牌SSL证书的需求。
国产品牌中兼容性最优
支持RSA/SM2加密算法
WoSign
WoSign是一个国产证书品牌,满足企业采购国产品牌SSL证书的需求。
性价比高
支持RSA/SM2加密算法
如果您对证书类型、域名类型、加密算法、证书品牌等均有一定了解,可以参照下方对照表,快速确定您的选购需求。
证书品牌
证书类型
加密算法
域名类型
DigiCert
DV(个人测试证书)
RSA
单域名
OV
RSA、ECC
单域名、多域名、通配符域名
EV
RSA
单域名、多域名
GeoTrust
OV
RSA、ECC
单域名、多域名、通配符域名
EV
RSA
单域名、多域名
GlobalSign
DV
RSA
单域名、通配符域名
OV
RSA、ECC
单域名、多域名、通配符域名
Rapid
DV
RSA
单域名、通配符域名
vTrus(国产)
DV
RSA、SM2
单域名、通配符域名
OV
RSA、SM2
单域名、多域名、通配符域名
CFCA(国产)
OV
RSA、ECC、SM2
单域名、多域名、通配符域名
EV
RSA
单域名、多域名
WoSign(国产)
DV
RSA、SM2
单域名、通配符域名
