每个人都需要通过获取公开注册的 SSL/TLS 证书来保护在线通信。除了在线交易的安全性之外,SSL证书还有几个优势,例如品牌化、提高用户域的信任级别、互操作性和端点之间通信的完整性,仅举几例。
但是,需要对SSL证书有更深入的了解,以便能够从众多可用选项中选择正确的在线保护。在线安全是一个非常敏感的问题,CA 安全委员会 (CASC) 作为一个宣传团体致力于这项事业。在后续的段落中,您将循序渐进地了解CASC推荐的方式。
第一步-域名注册
公共网站通过获得公众信任的SSL证书来保护,该证书应该首先注册。域注册对于域验证过程至关重要,以检查域的所有权。您已经能够为您的网站获得公共域这一事实,将该网站建立为注册网站。
未注册域-那些未注册的域与内部服务器名称相关。它是属于专用网络的 IP 地址或域。这些可以是:
- 非公共域名的服务器名称或后缀之一
- 与公共域无关的主机名或NetBIOS 名称排序
- RFC 1918 范围内的IPV4 地址
- 属于RFC 4193 范围的IPV6 地址
应该注意的是,证书颁发机构不允许颁发公开信任且包含保留 IP 或内部服务器名称的SSL证书,原因很简单,因为许多公司可能具有相似的内部服务器名称。因此,认证机构可能永远无法确定一家公司的所有权。
保护内部服务器名称 - 使用内部服务器名称的内部服务器之间的通信无法通过使用公开信任的SSL证书来保护。这个问题唯一可行的解决方案是建立一个能够颁发证书的内部 CA。
这种安排可能需要大量资源,并且可能需要深入的技术专长。很少有 CA 能够为内部服务器名称颁发SSL证书。由于这些证书是从私有(非公共)根颁发的,因此它们不应遵守公共证书的规定,并且可以包含保留的 IP 和内部服务器名称,从而使您免于通过操作自己的 CA 来颁发自签名证书的麻烦.
第二步-确定建议的信任级别
每个SSL证书都旨在确保会话安全并为网站处理的信息提供加密。然而,在浏览器中显示和证书中包含的身份信息的范围方面存在巨大差异。这些差异以信任级别为标志,最高信任级别由扩展有效性 (EV) 提供,然后依次是组织验证 (OV) 和域验证 (DV)。
重要的问题是分配给您的证书的信任级别是什么。为了确定这一点,需要找到要传达给访问者的建议信任级别。您需要确定将您的品牌标识与您的网络形象联系起来是否重要。这还包括您对在浏览器的地址栏中明确显示您的品牌或仅包含在证书中的看法。让我们检查每个级别的信任以便更好地理解。
EV(扩展验证)证书 - 扩展验证证书旨在包含与组织相关的数据。EV 证书仅颁发给满足任何类型SSL证书最严格和最严格要求的公司。带有挂锁的绿色地址栏突出显示您公司的名称,除了可以验证您的组织的可信度之外,还可以为您的网站提供最高级别的可信度。这种清晰可见的安全性和可信度指示通过确定您的网站是合法和值得信赖的来增强您的网站访问者的信任。不用说,这种可信度的证明肯定会赢得更多的转化和更大的客户信任。
OV(组织验证)证书 - 尽管组织验证证书提供了企业的身份验证,但信息只能通过查看证书的详细信息来访问。该信息不像扩展验证证书那样直接可见。
DV(域验证)证书 - 如果您需要提供最基本的安全级别,即提供最少的业务身份信息,并仅建立对域的业务管理控制。这些在提供基于会话的安全性方面肯定是有效的,即使没有关于公司的信息是可访问的。该证书不保证特定组织对域的所有权。
第三步-要保护的域的数量
单域保护 - 如果您计划保护单个域,那么标准证书就足够了。但是,您可以根据自己的喜好和安全要求选择信任级别。您还可以保护可以满足不同地理区域需求的多个站点。这可以通过购买多域证书或通配符来实现。一种更具成本效益且易于管理的替代方案是选择完全合格的域名。它还在更新证书时提供了更大的便利。
保护多个域 - 借助多域证书可以轻松保护多个域,多域证书有助于在单个证书的帮助下保护多个域。该证书包括这些域作为主题备用名称,因此引用“SAN 证书”。
保护多个子域 - 子域证书由 EV、OV 或 DV 支持。通过使用通配符或多域证书,可以使用单个证书保护子域。证书的选择取决于信任级别和要保护的子域总数。大量现有和计划中的子域首选通配符证书 ID。对于有限数量的子域,应选择多域证书。
