DigiCert銀級SSL經銷夥伴DigiCertCertifiedPartnerSilver SMALL

You are here: Home購買憑證選購指南一次搞懂SSL憑證種類(上)

一次搞懂SSL憑證種類(上)

當您有需要挑選SSL憑證的時候,可能會在販售SSL憑證的網站上看到很多專有名詞,像是:專業版、企業版、進階版、企業識別、域名型、強制型、強制高加密、延伸驗證、聯合通訊、整合通訊、多域名、萬用型,甚至雲端SSL!十個有九個人會看得一頭霧水,搞不清楚到底要選哪一種才不會買錯。別擔心,我們撰寫這篇文章的目的,就是希望讓您看完以後能夠一次搞懂市面上的SSL憑證!

 


亂中有序

簡單來說,縱然市面上的SSL產品這麼多種,其實只要掌握到一些關鍵屬性就可以化繁為簡歸納成幾類同質性的類別或級距,就好比市售自用汽車千百款,可以大致分為房車(當然還可細分為豪華房車、家庭房車...)、跑車、休旅車(SUV、4x4)、MPV廂型車...,再搭配排氣量級距,就可以掌握七八成產品的內容,根據需求選定了適用的類型跟級距以後,再來比較細部功能、價格跟C/P值決定最後的購買對象,選購SSL憑證也是類似的過程。那接著我們就來分析一下SSL憑證的種類。

 

主要分類屬性 

我們只需用三個屬性:「驗證方式」、「加密強度」、「對應主旨名稱數量」 就可以掌握幾乎所有的SSL憑證,這三個分類屬性都是獨立的,也就是一樣產品可能是由好幾種屬性組合出來的,文末會以Symantec產品為例說明如何用這三種屬性分類,而本文的下集會另外提供一張市售大部分SSL產品的對照表格就更容易一目瞭然:

(一)驗證方式

首先是根據申請SSL憑證時負責把關的認證中心 (CA) 對於申請單位所驗證(或稱鑑別)的範圍來分,共有三種,第一種也是最常見的情況是公司行號申請憑證,CA下的專責單位會驗證申請單位是否是一個合法正式登記設立的公司行號、機關團體,申請人要提出政府所發的正式文件,稱為 Organization Validation (機構驗證);另一種則是很簡單地只透過Email鑑別網域所有權,付款後數分鐘就可核發,不必是公司行號也可申請,等級最低也最便宜,稱為 Domain Validation (網域驗證) 。另外機構認證的憑證還有一種進階版本,叫做 Extended Validation (延伸驗證, EV) ,審查要求更嚴格,好處是使用EV憑證可以讓瀏覽器顯示明顯的綠色網址列來讓訪客更容易辨識網站的安全性。

(一)驗證方式申請門檻安全等級價位坊間名稱
延伸驗證
Extended Validation (EV)
EV
機構驗證
Organization Validation
企業版... / 企業識別...
網域驗證
Domain Validation

域名型... / Rapid... / 
Instant... / 專業版

辨別秘訣:如果產品名稱有「EV」當然不用講一定就是延伸驗證,而「企業」或「域名型」字樣通常就是分別指機構跟網域驗證方式,沒特別寫的多屬於機構驗證。至於「專業版」則是域名驗證的"包裝加工版"!

 

 

(二)加密強度

在凱森的官網上我們一直強調一個正確觀念,就是一般SSL憑證與瀏覽的加密強度無關,加密強度是由瀏覽器和Web伺服器的設定來決定,唯一例外是SGC (Server Gated Cryptography) 強制高加密憑證會影響加密強度外,其餘憑證並無所謂128/256位元憑證。所以這個跟加密強度有關的分類屬性其實也就只分為兩種:SGC的強制高加密憑證 與非SGC的一般憑證。

(二)加密強度對加密強度影響安全等級價位坊間名稱
SGC 強制達128-bit以上 較高 較高 SGC / 強制版 / 強制高加密
非SGC 無影響  (其他)

 

 

(三)對應主旨名稱數量

SSL憑證上會有主旨名稱 (Subject Name) ,一般就是對應實際伺服器的完整網域名稱 (FQDN) ,也就是傳統一對一的方式;後來因應例如像郵件伺服器這種一個服務同時有多種命名方式 (對外採用domain name,在公司內部採用虛擬IP或是視窗環境的電腦名稱) 的需求,又出現了可以在一張憑證上置入多個主旨別名 (Subject Alternative Name, SAN)的產品,而這些SAN可以分屬不同網域,主要使用在整合通訊服務上 (Unified Communication, UC),所以又稱為 SAN 憑證UC 憑證

還有一種一對多的SSL憑證則是可以用一張憑證對應同一網域下的所有 FQDN,例如:*.company.com 的憑證可以使用於 www.company.com、mail.company.com、forum.company.com.....,這種特殊憑證稱為 Wildcard 或是萬用憑證,主要是可以簡化同時有很多SSL需求下的管理工作。

(三)對應主旨名稱數量對應數量價位坊間名稱
一對一 一個
不同網域一對多
(SAN/UC)
有限個 以SAN數量計價 SAN... / UC... / 整合通訊 / 多域名 / 聯合通訊
同網域下一對多
(Wildcard)
 不限數量
(仍須視授權方式而定)
 較高 wildcard... / 萬用... / 多子網域通用... / cloud...

 

CA/B Forum在2012/7/1起生效的新規範中,未來將禁止使用虛擬IP和電腦名稱作為SAN。

 


 

實際範例 

在我們將以上的分類方式套用到市面上大部分的SSL憑證產品產生一張大表格之前,本文最後就先以Symantec (VeriSign) 的SSL憑證產品來做個示範,將一系列產品做個簡單分類:

對應主旨名稱數量加密強度延伸驗證機構驗證網域驗證

一對一 &

SAN/UC (註)

SGC Secure Site Pro w/ EV Secure Site Pro
非SGC Secure Site w/ EV  Secure Site  
WildcardSGC
非SGC Secure Site Wildcard

 

註:Symantec SSL憑證除了 Secure Site Wildcard 之外,均可以加購 SAN,所以既是一對一又可以俱有 SAN/UC 功能。

 


 

延伸閱讀:

Last Updated on Wednesday, 07 November 2012 15:57

Go to top