一文讲清通用型 SSL 与 SAN SSL 证书

目前 SSL 证书已经普及,app 和微信等均要求使用,这让网站应用变得更加安全。本文介绍通配符型 SSL 和 SAN SSL 证书之间的区别,以便于大家理解和区分,找出哪种证书更适合自己的需求。

通配符 SSL 和 SAN SSL 都是传统 SSL 证书更经济高效的替代品。来详细看一下。

通配符 SSL 证书

通配符型 SSL 证书会稍复杂一些,企业使用它来保护主域名和多个子域名的安全。

单一 SSL 通配符,需要逐一将www.xyz.com,login.xyz.com,mail.xyz.com 或其它子域名添加到单一 SSL 证书中。而通配符型证书就不需要这样麻烦了,之所以称为通配符,它有个前缀“*”,当它添加到域名时,它可以是“mail”,“user”,"sso" 等任何名字,其实子域名的数量是无限的,而且时隔一段时间也不需要再重新颁发 SSL 证书。

通配型 SSL 的优势

1、易于管理

通配符型 SSL 证书之所以让人期待,是因为它更易于管理,主域名和所有子域名都在同一个证书下注册。产生的费用也大大降低。

2、灵活的方法

通配型 SSL 证书可以允许用户添加任意数量的子域名,只要证书有效,随时添加,不需要再向相关机构重新颁发。通配型证书为新的子域名提供完整的保护,在购买证书时不用提供子域名的信息,这就是“*”的作用。

3、性价比高

你不必再为每个子域名购买单独的 SSL 证书,通配符可以让你不牺牲安全的前提下节省开支。

4、浏览器兼容

通配型 SSL 证书与电脑、智能手机上所有的浏览器兼容,例如 Chrome、Firefox、Safari、Apache、Nginx 等。

5、加密位数

通配型 SSL 证书提供 256 位加密。

通配符型 SSL 证书适合有较多的子域名,而且之后会变更扩展的人士,也就是说更适合成长型企业。

SAN SSL 证书

SAN(主题备用名字)SSL 证书是用于多域 SSL 的另外一个术语。SAN 让网站的所有者可以在一个证书下保护多个域名和相关子域。

SAN SSL 证书和通配符 SSL 的最大区别是,SAN SSL 可以帮助你保护多个主域名,而通配符做不到,因此 SAN SSL 证书也被称为 UCC——统一通信证书。

再回想之前的实例,假设存在不同的主域名和子域名,例如www.xyz.com,maiil.xyz.com,mail.xyz.net,crm.xyz.net 等,而使用 SAN SSL 单个证书可以涵盖这些所有域名。

与通配符型 SSL 证书区别的是,SAN SSL 证书要求网站所有者大颁发证书时定义好域名和子域名列表。如果要在以后添加新的主域或子域名,则需要更新或在每台服务器上重新部署证书。

使用 SAN SSL 的主要优势,下面概括如下:

1、更大的灵活性

假如你有三个或四个主域名,每个域名都有多个子域名,使用一个 SAN SSL 证书,就可以保护所有域名。

2、浏览器兼容性

SAN SSL 证书几乎与所有可用的浏览器兼容。

3、加密

SAN SSL 证书提供完整的 256 位加密。

4、专门为应用提供商设计

应用程序提供商可以利用 SAN SSL 做很多事情,因为提供商通过互联网向不同的客户提供产品服务,每个客户都有唯一的主域名,这样应用程序提供商可以用一个 SAN SSL 保护每个客户的域名。

在什么场景下使用 SAN SSL,什么时候用通配符证书?

当需要保护多个域名的服务器时,SAN SSL 证书当为首选。SAN SSL 为各种主域名提供安全,包括其下列出的子域名。因此,SAN SSL 证书是大型网站的理想选择。

对于只有一个主域名的企业来说,则通配符证书是最佳之选。