每個人都需要通過獲取公開注冊的 SSL/TLS 證書來保護(hù)在線通信。除了在線交易的安全性之外，SSL證書還有幾個優(yōu)勢，例如品牌化、提高用戶域的信任級別、互操作性和端點(diǎn)之間通信的完整性，僅舉幾例。

但是，需要對SSL證書有更深入的了解，以便能夠從眾多可用選項中選擇正確的在線保護(hù)。在線安全是一個非常敏感的問題，CA 安全委員會 (CASC) 作為一個宣傳團(tuán)體致力于這項事業(yè)。在后續(xù)的段落中，您將循序漸進(jìn)地了解CASC推薦的方式。

第一步-域名注冊

公共網(wǎng)站通過獲得公眾信任的SSL證書來保護(hù)，該證書應(yīng)該首先注冊。域注冊對于域驗(yàn)證過程至關(guān)重要，以檢查域的所有權(quán)。您已經(jīng)能夠?yàn)槟木W(wǎng)站獲得公共域這一事實(shí)，將該網(wǎng)站建立為注冊網(wǎng)站。

未注冊域-那些未注冊的域與內(nèi)部服務(wù)器名稱相關(guān)。它是屬于專用網(wǎng)絡(luò)的 IP 地址或域。這些可以是：

• 非公共域名的服務(wù)器名稱或后綴之一
• 與公共域無關(guān)的主機(jī)名或NetBIOS 名稱排序
• RFC 1918 范圍內(nèi)的IPV4 地址
• 屬于RFC 4193 范圍的IPV6 地址

應(yīng)該注意的是，證書頒發(fā)機(jī)構(gòu)不允許頒發(fā)公開信任且包含保留 IP 或內(nèi)部服務(wù)器名稱的SSL證書，原因很簡單，因?yàn)樵S多公司可能具有相似的內(nèi)部服務(wù)器名稱。因此，認(rèn)證機(jī)構(gòu)可能永遠(yuǎn)無法確定一家公司的所有權(quán)。

保護(hù)內(nèi)部服務(wù)器名稱 - 使用內(nèi)部服務(wù)器名稱的內(nèi)部服務(wù)器之間的通信無法通過使用公開信任的SSL證書來保護(hù)。這個問題唯一可行的解??決方案是建立一個能夠頒發(fā)證書的內(nèi)部 CA。

這種安排可能需要大量資源，并且可能需要深入的技術(shù)專長。很少有 CA 能夠?yàn)閮?nèi)部服務(wù)器名稱頒發(fā)SSL證書。由于這些證書是從私有（非公共）根頒發(fā)的，因此它們不應(yīng)遵守公共證書的規(guī)定，并且可以包含保留的 IP 和內(nèi)部服務(wù)器名稱，從而使您免于通過操作自己的 CA 來頒發(fā)自簽名證書的麻煩.

第二步-確定建議的信任級別

每個SSL證書都旨在確保會話安全并為網(wǎng)站處理的信息提供加密。然而，在瀏覽器中顯示和證書中包含的身份信息的范圍方面存在巨大差異。這些差異以信任級別為標(biāo)志，最高信任級別由擴(kuò)展有效性 (EV) 提供，然后依次是組織驗(yàn)證 (OV) 和域驗(yàn)證 (DV)。

重要的問題是分配給您的證書的信任級別是什么。為了確定這一點(diǎn)，需要找到要傳達(dá)給訪問者的建議信任級別。您需要確定將您的品牌標(biāo)識與您的網(wǎng)絡(luò)形象聯(lián)系起來是否重要。這還包括您對在瀏覽器的地址欄中明確顯示您的品牌或僅包含在證書中的看法。讓我們檢查每個級別的信任以便更好地理解。

EV（擴(kuò)展驗(yàn)證）證書 - 擴(kuò)展驗(yàn)證證書旨在包含與組織相關(guān)的數(shù)據(jù)。EV 證書僅頒發(fā)給滿足任何類型SSL證書最嚴(yán)格和最嚴(yán)格要求的公司。帶有掛鎖的綠色地址欄突出顯示您公司的名稱，除了可以驗(yàn)證您的組織的可信度之外，還可以為您的網(wǎng)站提供最高級別的可信度。這種清晰可見的安全性和可信度指示通過確定您的網(wǎng)站是合法和值得信賴的來增強(qiáng)您的網(wǎng)站訪問者的信任。不用說，這種可信度的證明肯定會贏得更多的轉(zhuǎn)化和更大的客戶信任。

OV（組織驗(yàn)證）證書 - 盡管組織驗(yàn)證證書提供了企業(yè)的身份驗(yàn)證，但信息只能通過查看證書的詳細(xì)信息來訪問。該信息不像擴(kuò)展驗(yàn)證證書那樣直接可見。

DV（域驗(yàn)證）證書 - 如果您需要提供最基本的安全級別，即提供最少的業(yè)務(wù)身份信息，并僅建立對域的業(yè)務(wù)管理控制。這些在提供基于會話的安全性方面肯定是有效的，即使沒有關(guān)于公司的信息是可訪問的。該證書不保證特定組織對域的所有權(quán)。

第三步-要保護(hù)的域的數(shù)量

單域保護(hù) - 如果您計劃保護(hù)單個域，那么標(biāo)準(zhǔn)證書就足夠了。但是，您可以根據(jù)自己的喜好和安全要求選擇信任級別。您還可以保護(hù)可以滿足不同地理區(qū)域需求的多個站點(diǎn)。這可以通過購買多域證書或通配符來實(shí)現(xiàn)。一種更具成本效益且易于管理的替代方案是選擇完全合格的域名。它還在更新證書時提供了更大的便利。

保護(hù)多個域 - 借助多域證書可以輕松保護(hù)多個域，多域證書有助于在單個證書的幫助下保護(hù)多個域。該證書包括這些域作為主題備用名稱，因此引用“SAN 證書”。

保護(hù)多個子域 - 子域證書由 EV、OV 或 DV 支持。通過使用通配符或多域證書，可以使用單個證書保護(hù)子域。證書的選擇取決于信任級別和要保護(hù)的子域總數(shù)。大量現(xiàn)有和計劃中的子域首選通配符證書 ID。對于有限數(shù)量的子域，應(yīng)選擇多域證書。