一、先选验证级别(最关键)
按信任等级从低到高:DV → OV → EV
1. DV(域名验证)
- 特点:仅验证域名所有权,几分钟签发,免费 / 低价
- 浏览器:只显示小锁,不显示企业名
- 适合:个人博客、测试站、内部系统、静态展示页
- 不适合:企业官网、电商、登录 / 支付页面
2. OV(组织验证)【企业标配】
- 特点:验证域名 + 企业资质(营业执照),1–3 天签发
- 浏览器:锁 + 可查看企业名称
- 适合:企业官网、中小企业电商、SaaS、API、会员系统
- 性价比最高:安全与成本平衡
3. EV(增强验证)【最高信任】
- 特点:最严审核(法律资质、电话 / 地址核验),3–7 天
- 浏览器:锁 + 地址栏显示企业名(部分新版浏览器简化)
- 适合:银行、支付、证券、大型电商、政务、医疗
- 价格高:几千到几万 / 年
二、再选域名覆盖类型
按你有几个域名 / 子域名选:
1. 单域名
- 保护 1 个域名(如
www.xxx.com) - 适合:单站点、无大量子域名
2. 通配符(*)
- 保护
*.xxx.com+ 所有同级子域名 - 适合:多子域名(blog、shop、api、app)、SaaS、动态子域
3. 多域名(SAN/UCC)
- 一张证书保护 多个独立域名(
a.com,b.net,c.cn) - 适合:集团、多品牌、多业务站
三、加密算法:RSA vs ECC
- RSA:兼容性最好(老设备 / IE 都支持)
- ECC:更快、更轻、高并发 / 移动端更优
- 建议:优先 ECC;要极致兼容选 RSA;高端选 RSA+ECC 双算法
四、CA 品牌怎么选
- 国际主流:DigiCert、Sectigo、GlobalSign → 全球兼容好
- 国内合规:CFCA、GDCA(数安时代)→ 支持国密 SM2、等保合规
- 避坑:别买不知名小 CA,容易浏览器报 “不安全”
五、场景速查表(直接对号入座)
- 个人 / 博客 / 测试→ DV 单域名(免费 Let’s Encrypt 或低价 DV)
- 中小企业官网 / 普通电商→ OV 单域名 / OV 通配符(最稳妥)
- **多子域名(SaaS / 平台)**→ OV 通配符(新增子域不用重买)
- **多独立域名(集团)**→ OV 多域名(SAN)
- 金融 / 支付 / 政务 / 医疗→ EV + 国密(SM2) (国内合规)
- 等保 2.0 / 密评要求→ 必须选支持国密 SM2 的国内 CA(CFCA/GDCA)
六、免费 vs 付费
-
免费(Let’s Encrypt)
- 优点:免费、90 天、自动续期
- 缺点:仅 DV、无企业验证、无技术支持、无赔付、不适合商业信任
- 适合:个人、测试、非敏感站
-
付费证书
- DV:几十–几百 / 年
- OV:几百–几千 / 年
- EV:几千–几万 / 年
- 优势:企业验证、技术支持、安全赔付、合规、稳定
七、最终选择步骤(3 步)
-
定级别
- 不涉及敏感 / 交易 → DV
- 企业 / 商业 / 登录 → OV
- 金融 / 支付 / 政务 → EV
-
定域名
- 1 个站 → 单域名
- 多子域 → 通配符
- 多个不同域名 → 多域名
-
定算法 + 品牌
- 性能优先 → ECC
- 兼容优先 → RSA
- 国内合规 → 国密 CA
- 全球访问 → 国际 CA
