一、如何选品牌？主要有十个品牌。

1、Sectigo（原Comodo CA）市场占有率最高，达到全球40%。主要产品系列有PositiveSSL DV、EV，Comodo OV。价格便宜。

2、GeoTrust 全球第二大证书厂商，是Symantec的全资子公司，产品有RapidSSL DV , GeoTrust OV、EV 。

3、Digicert 收购Symantec后，成为高端金融类公司首选。产品有Secure Site DV/OV/EV（即原Symantec SSL），还有Digicert OV/EV 。

4、TrustAsia 亚洲诚信，Digicert亚太区白金合作伙伴，也销售自有品牌产品TrustAsia DV/OV/EV。

5、GlobalSign 全球最早认证机构之一，阿里巴巴全系列官网、百度、财付通、cnzz统计等大公司都选择这种。

6、CFCA 中国金融认证中心，自主研发，纯国产。

7、Thawte 是VeriSign的子公司，而VeriSign又是Symantec的全资子公司，现在都属于Digicert。

8、Certum 波兰最大最老的认证机构。

9、EnTrust 加拿大安全认证公司。

10、GoDaddy ，无需介绍，谁都知道。

相关单词：

Comodo 科摩多 Positive 积极的 Rapid 快速的 Cert 证书 Symantec 赛门铁克

Secure 安全 Sign签名 Encrypt 加密

二、如何看参数？产品参数解读。

1、公司有大小之分，根据适用的企业级别不同，提供DV、OV、EV三种等级的认证。

1）DV SSL(Domain Validation)域名型证书，域名型SSL不会在证书中显示申请的公司单位的名称，只会显示申请的域名。对于DV SSL的申请，只需要1-2个小时左右即可完成对域名的验证并颁发证书，不需要递交纸质验证文件，只需要验证域名的管理权。
一般这种SSL类型适用于中小型企业网站、个人网站等。

2）OV SSL(Organization Validation)企业型证书，企业型SSL包含了完整的公司信息，因此用户可以在证书中看到申请证书的公司名称。申请的时候不仅仅需要验证域名的管理权，还需要递交公司证明的材料以及纸质的验证文件。
这种SSL类型适用于企业网站、金融机构或是电子商务网站。

3）EV SSL(Extended Validation)增强型证书，增强型SSL的申请需要通过极其严格的审查来验证网站企业身份和域名管理权，来确保网站身份的真实性。同时具有超强的加密保护，在地址栏中便显示了公司的名称和证书颁发机构的全称。与前两种SSL证书类型相比，EV SSL具有极高的可信度以及安全性。
这种SSL类型适用于大型的企业，证券、金融平台，政府机构的站点等。

2、根据覆盖的域名数量，有分为单域名、多域名、通配符三种类型。

1）单域名ssl适合大多数网站，只支持一个域名，只能用在一个站点上。

2）多域名ssl可以用在同一台服务器上的其它站点上，有的限定个数，有的不限个数。

3）通配符型ssl可以用在同一个域名的所有二级域名站点上，比如一个域名是abc.com，前面加个前缀就是二级域名，例如aaa.abc.com。域名本身不变，只在前面加个点好和字母。

3、ssl使用的都是非对称加密算法，具体分为三种RSA、DSA、ECC。

1）RSA是三位首创数学家姓氏首字母的组合,是目前最有影响力的公钥加密算法，该算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，但想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥，即公钥，而两个大素数组合成私钥。公钥是可发布的供任何人使用，私钥则为自己所有，供解密之用。

2）DSA (Digital Signature Algorithm) 是 Schnorr 和 ElGamal 签名算法的变种，这是一种更高级的验证方式，用作数字签名。不单单只有公钥、私钥，还有数字签名。

3)ECC(Elliptic curve cryptography)，椭圆加密算法，其数学基础是利用椭圆曲线上的有理点构成 Abel 加法群上椭圆离散对数的计算困难性。ECC处理速度快，在私钥的加密解密速度上，ECC 算法比 RSA、DSA 速度更快，存储空间占用小，带宽要求低。

公钥密码体制根据其所依据的难题一般分为三类：大素数分解问题类、离散对数问题类、椭圆曲线类。

4、SHA（Secure Hash Algorithm）安全散列算法,是一个密码散列函数家族，是FIPS所认证的安全散列算法。能计算出一个数字消息所对应到的长度固定的字符串（又称消息摘要）的算法。且若输入的消息不同，它们对应到不同字符串的机率很高。SHA家族的五个算法，分别是SHA-1、SHA-224、SHA-256、SHA-384，和SHA-512，由美国国家安全局（NSA）所设计，并由美国国家标准与技术研究院（NIST）发布,是美国的政府标准,后四者并称为SHA-2。由于SHA-1和RSA-1024已过时且安全性较低，因此SHA-256和RSA 2048是当前的标准。SHA-256是一种非常好的安全散列算法，非常适合在证书上使用，而2048位RSA是一种很好的签名算法（注意签名与加密不同）。使用带有SHA-256的2048位RSA是证书的安全签名方案。这将允许您生成可用于加密和解密数据的公钥和私钥。

相关单词：

Validation 验证 Extended 扩展 digital 数字的 signature 签名 algorithm 算法

Elliptic 椭圆 curve曲线 cryptography密码学 hash散列表，哈希

三、安装后如何识别？

1、点击绿色小锁头，第一句即写着该ssl的详细信息，由此我们客户看出证书品牌系列、证书类型、加密方式、加密强度等信息。

2、举例:

1）GlobalSign Organization Validation CA-SHA256-G2  (淘宝网、阿里巴巴、阿里云、百度、财付通、cnzz)

品牌是GlobalSign公司的，Organization Vlidation 即OV系列证书，采用的是SHA256加密算法。

2）Secure Site Pro Extended  Validation CA  G2 (中国银行、招商银行、建设银行)

品牌是Digicert公司的Secure Site系列ssl，即原Symantec 赛门铁克 系列产品，Extended Validation 即EV类型。

3) GeoTrust CN RSA  CA G1 (网易邮箱、CSDN 博客)

GeoTrust品牌，DV证书，RSA加密算法。

4）TrustAsia TLS RSA CA  （福步、百度翻译）

亚洲诚信免费版的，TLS类型数字证书，DV系列，RSA加密算法。

5）Encryption Everywhere DV TLS  CA-G1  （奇单、米饭）

Let’s Encrypt公司免费版的，TLS类型，DV系列。

6）Sectigo RSA Domain Validation Secure Server CA ( 叶子网络、Ueeshop、米课圈)

Sectigo公司 ，Domain Validation 即DV系列，RSA加密算法。

四、SSL工作原理。

1、数字证书为实现双方安全通信提供了电子认证，在用户公钥后附加了用户信息及CA签名。

2、SSL是基于https下的一个协议加密层，最初由网景公司研发，后被“互联网工程任务组ZETF”标准化后写入“请求注释RFC”，RFC里包含了很多互联网技术规范。SSL是基于http之下TCP之上的一个协议层，是基于http标准并对TCP传输数据时进行加密，所以https是http+SSL/TCP的简称。

3、通过对传输层进行128-256位加密，确保网络传输数据安全。使用https加密协议访问网站，为客户端(浏览器) 到服务器端之间搭建一条加密通道，实现高强度双向加密传输，保证用户机密信息安全，防止用户信息、财务信息等重要数据的窃取或篡改。换句话说是安装了SSL证书之后数据的安全更有保障

4、认证服务器真实身份。安装过由第三方权威机构颁发的SSL证书，在浏览器地址栏可显示安全锁标识，点击可查询网站的真实身份，另外有些安装EVSSL证书网站，整个地址栏会变成绿色，一眼即可看出该网站安装了SSL证书，能够有效避免网站钓鱼、欺诈网站所造成的经济损失。

5、谷歌,2018年7月起，Chrome最新版浏览器将对所有的HTTP网站用红色字体做“不安全”标记，并添加警告图标。苹果公司要求所有iOS App使用HTTPS加密后的又一操作系统强制拒绝HTTP页面。Safari（苹果浏览器）采取了更加强硬的措施，Safari不允许用户点击HTTP页面以获取更多信息。火狐浏览器早已对HTTP页面做了不安全标记。

6、非对称加密需要两个密钥：公钥 (publickey) 和私钥 (privatekey)。公钥和私钥是一对，如果用公钥对数据加密，那么只能用对应的私钥解密。如果用私钥对数据加密，只能用对应的公钥进行解密。因为加密和解密用的是不同的密钥，所以称为非对称加密。SSL主要算法有RSA、DSA、ECC三种。

7、CA：证书颁发机构。CA认证即电子认证服务，为电子签名相关各方提供真实性、可靠性验证的活动。

8、TLS是更安全的升级版SSL。由于SSL这一术语更为常用，因此仍将TLS称作SSL。当你购买SSL时，真正购买的是最新的TLS证书。

9、TLS/SSL的功能实现主要依赖于三类基本算法：散列函数 Hash、对称加密和非对称加密，其利用非对称加密实现身份认证和密钥协商，对称加密算法采用协商的密钥对数据加密，基于散列函数验证信息的完整性。

解决上述身份验证问题的关键是确保获取的公钥途径是合法的，能够验证服务器的身份信息，为此需要引入权威的第三方机构CA。CA 负责核实公钥的拥有者的信息，并颁发认证"证书"，同时能够为使用者提供证书验证服务，即PKI体系。
基本的原理为，CA负责审核信息，然后对关键信息利用私钥进行"签名"，公开对应的公钥，客户端可以利用公钥验证签名。CA也可以吊销已经签发的证书，基本的方式包括两类 CRL 文件和 OCSP。CA使用具体的流程如下：

相关单词及术语：

CA：Certificate  Authority （证书   权威）电子认证服务

SSL：Secure  Socket  Layer 安全套接字层

TLS：Transport Layer Security 安全传输层协议

TCP：Transmission  Control Protocol 传输控制协议

五、市场价一览。

GlobalSign SSL

Godaddy SSL