如何选择合适的CA证书
对于一个只需要DV SSL证书的小网站,理论上所有CA机构颁发的证书都没问题。你可以随意选择,找一家便宜的CA机构就行。任何公共CA都可以直接签发DV SSL证书,并且无需你提供任何信息,就可以成功申请。但是,如果你的证书需要用来保护重要的资产或者数据信息,就需要花一点时间去选择合适的、受信任的CA证书,确保能满足你的所有需求。假如你还需要启用像钉扎这样的高级特性,选择一个合适的CA证书将会是一个长期的承诺,就要更加谨慎的选择。
推荐阅读:《SSL证书颁发机构有哪些》
选择合适的CA证书需要思考一下几个方面:
1、服务
今时今日,一切都是服务。如今的证书服务正变得越来越复杂。如果你的公司没有这方面的专家,也许可以找一个可靠的CA合作。成本虽然重要,但是用户接口和服务质量同样重要。
安信证书拥有Symantec、GeoTrust、Comodo以及RapidSSL等多家全球权威CA证书,可提供免费咨询、协助申请、免费安装等一条龙服务。
2、兼容性
如果你有一个巨大的多样化的用户群,那么就需要一个被广泛预置的可信任的CA证书。老牌的CA证书在这方面有明显的优势,因为他们早已花了大量时间将自己的证书预置到各种系统中。一个年轻的CA厂商,如果能与一个现有CA进行交叉签名,也一样没有问题。你可以做出一下的准备
(1)列一张你需要支持的重要平台列表;
(2)找CA厂商要一份证书信任库部署列表;
(3)确保两者匹配。
最后,申请一个测试证书在你的关键平台上进行测试验证。请记住,不要只看CA现在支持的平台有哪些,还要看CA支持这些平台的时间点。有很多设备不支持更新信任库,因此时间点也是一个关键点。
3、先进性
有些CA只对销售证书感兴趣,而有些CA却能塑造和引领整个行业。你应该与第二种CA合作。如今,务必选择这样的CA:已默认签发SHA256证书,提供良好的OCSP响应服务,并且有计划支持钉扎和证书透明度特性。
4、安全性
作为一个CA,安全运行业务的能力显然是最重要的一个标准。但如何去判断CA证书的安全性呢?所有的CA都通过了审核,在表面上具有完全相同的安全性,但是历史证明,不同的CA证书安全性上差异很大。最好的方法是仔细搜索一下这个CA证书安全性方面的历史记录。