DV OV EV SSL证书验证级别
背景
OEM客户反馈在国外打开网站显示不安全。
原因:
国内CA和部分国密算法的CA机构颁发的证书不被国外的机器的根CA认可
解决:更换一家CA重新签发ssl证书即可
常用命令
# 查看证书内容
openssl x509 -in _.xx.cn.pem -text -noout
# 查看证书过期时间
openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -dates
使用ca校验主机证书
openssl verify -CAfile chat-xx-h5.xx.com_ca.crt chat-xx-h5.xx.com.crt
linux客户端下校验网站连接
openssl s_client -connect chat-x-h5.xx.com:443 -servername chat-xx-h5.xx.com
证书检测网站
亚洲诚信
https://myssl.com/cert_decode.html
证书链检测
https://tools.ihuandu.com/#/cert-utils/ssl_check.html
阿里云美国地域linux客户端证书校验
[root@iZrj988l5307h2smyusm81Z ~]# curl -vvv https://as.x-xx.com
* About to connect() to as.x-xx.com port 443 (#0)
* Trying x.x.x.1x...
* Connected to as.x-xx.com (x.x.x.1x) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crtCApath: none
* SSL connection using TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
* Server certificate:
* subject: CN=*.x-x.com
* start date: Jun 25 00:00:00 2025 GMT
* expire date: Jun 24 23:59:59 2026 GMT
* common name: *.x-x.com
* issuer: CN=RapidSSL TLS RSA CA G1,OU=www.digicert.com,O=DigiCert Inc,C=US
> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: as.x-x.com
> Accept: */*
>
< HTTP/1.1 200 OK
< server: istio-envoy
< date: Wed, 25 Jun 2025 02:41:51 GMT
< content-type: text/html
< content-length: 1774
< last-modified: Wed, 26 Mar 2025 09:56:48 GMT
< etag: "67e3cf60-6ee"
< cache-control: no-store, no-cache, must-revalidate, proxy-revalidate, max-age=0
< accept-ranges: bytes
< x-envoy-upstream-service-time: 0
<
<!DOCTYPE html>
<html lang="zh-cn">
....
* Connection #0 to host as.x-xx.com left intact
SSL证书
以下回答部分整理自GPT5
DV(域名验证)、OV(组织验证) 和 EV(扩展验证) 是三种常见的 SSL/TLS 证书类型,它们主要在验证过程、信任级别、显示效果和适用场景上有所不同。
类型
| 类型 | 验证内容 | 颁发时间 | 浏览器显示 | 适用场景 | 安全性 | 信任度 |
|---|---|---|---|---|---|---|
| DV | 域名控制 | 几分钟 | HTTPS + 锁 | 个人网站、博客 | 基本 | 低 |
| OV | 域名控制 + 组织合法性 | 1-3 工作日 | HTTPS + 锁 + 组织名 | 中小企业、电子商务 | 中等 | 中等 |
| EV | 严格身份验证 | 5-7 工作日 | HTTPS + 锁 + 组织名 + 绿色地址栏 | 金融机构、大型企业 | 高 | 高 |
证书品牌
常见的 DigiCert、GeoTrust、GlobalSign、沃通(WoTrus)、沃通(vTrus)、AlphaSSL 和锐安信(SSLTrus)等 SSL/TLS 证书品牌
比较总结
| 品牌 | 类型 | 适用场景 | 特点 |
|---|---|---|---|
| DigiCert | 国际品牌 | 高安全性需求的企业级应用 | 高安全性、快速签发、广泛应用 |
| GeoTrust | 国际品牌 | 中小型企业网站 | 性价比高、适合预算有限的企业 |
| GlobalSign | 国际品牌 | 大型企业、政府机构 | 全面的数字证书解决方案 |
| AlphaSSL | 国际品牌 | 个人网站、小型企业网站 | 价格亲民、基础功能 |
| 沃通(WoTrus) | 国产品牌 | 政府机构、金融行业 | 支持国密算法、安全合规 |
| vTrus | 国产品牌 | 企业级应用 | 高兼容性、多种加密算法 |
| 锐安信(SSLTrus) | 国产品牌 | 中小型企业网站 | 性价比高、支持国密算法 |
其它免费SSL证书
熟知的各大国外云厂商都有各自的免费SSL证书,还有较为著名的Let's EncryptCA证书颁发机构,常常和certbot客户端ssl工具配合使用
证书签发工具
certbot
https://certbot.eff.org/
acme.sh
Traefik
reference
https://sctgo.com/blog/11/