一、 依驗證等級分類 (Detailed Validation Levels)
在選擇 SSL 憑證時,驗證等級決定了憑證頒發機構 (CA) 對申請人身份審核的嚴格程度,以及用戶在瀏覽器上看到的信任資訊。
1. DV 憑證 (Domain Validation) - 域名驗證
- 驗證重點:僅確認申請人擁有該域名的管理權(透過 DNS、Email 或檔案驗證)。
- 核發時間:自動化審核,通常只需數分鐘。
- 顯示效果:瀏覽器顯示鎖頭,但不包含組織資訊。
- 適合對象:個人部落格、小型測試網站。
2. OV 憑證 (Organization Validation) - 組織驗證
- 驗證重點:除域名外,CA 會人工審核企業合法性(核對公司登記文件、電話連繫)。
- 核發時間:人工審核,通常需 2 至 3 個工作天。
- 顯示效果:點擊鎖頭後,在憑證詳情中會清楚顯示「組織名稱」與所在地。
- 適合對象:中小企業官網、會員系統、需建立初步品牌信任感的商業網站。
3. EV 憑證 (Extended Validation) - 擴展驗證
- 驗證重點:最高規格審核,包含嚴格的法律實體確認、經營狀態與負責人身分核實。
- 核發時間:最完整的人工審核,通常需 5 至 10 個工作天。
- 顯示效果:提供最高等級的身份證明,極大幅度降低被釣魚網站冒充的風險候。
- 適合對象:金融機構(銀行/證券)、大型電商平台、政府機關。
二、 依涵蓋域名分類 (Detailed Domain Coverage)
根據您的網路架構與預算考量,可以選擇保護單一網域、多個獨立網域,或保護下屬所有子網域的方案。
1. 單一域名憑證 (Single Domain SSL)
保護特定的單一個完全合格域名 (FQDN)。這是最常見且部署最簡單的憑證類型。
- 保護範圍:通常申請
www.example.com時,大多數 CA 會免費附贈example.com的保護(反之亦然)。 - 技術限制:僅限該特定域名。若您有
blog.example.com,則需另外購買憑證。 - 適用情境:最適合只有單一主站點的公司、個人工作室或特定的行銷活動一頁式網頁。
- 優勢:價格最親民,安裝與管理流程最直覺。
2. 多域名憑證 (Multi-Domain SSL / SAN)
也稱為 SAN (Subject Alternative Name) 或 UCC 憑證,允許在單張憑證中包含多個完全不同的網域名稱。
- 保護範圍:可跨網域保護。例如:
example.com、my-service.net、company-group.org通通可以放在同一張憑證裡。 - 技術靈活性:可以在憑證有效期內,隨時透過「重新簽發 (Reissue)」來增加或更換網域清單。
- 管理效率:只需維護「一個」到期日、「一個」CSR 檔案與「一份」安裝流程,大幅降低 IT 人員的管理負擔。
- 適用情境:擁有多個不同品牌域名的企業、微服務架構中需要對外曝露不同入口的系統。
3. 萬用字元憑證 (Wildcard SSL)
萬用字元憑證是擴充性最強的選擇,使用星號 (*) 作為主網域的前綴,保護該層級下的所有子網域。
- 保護範圍:例如
*.example.com可保護:www、shop、blog、api、dev等無限數量的子網域。 - 級別限制:請注意「萬用」僅限一層。
*.example.com無法 保護二層子網域如mail.api.example.com。 - 節省成本:當您的子網域超過 3 個時,購買 Wildcard 通常比購買多張單域名憑證更經濟。
- 安全性考量:由於所有子網域共用同一對金鑰對,若私鑰不幸外洩,所有受保護的子網域安全都會受到威脅,因此私鑰的保管需極為嚴密。
- 適用情境:SaaS 平台(為每位客戶提供專屬子網域)、開發與測試環境(頻繁增加子網域名稱)。
三、 選擇憑證的關鍵維度
- 加密強度:主流採用 RSA 2048 位元或 ECC 演算法,並確保持續支援最新的 TLS 1.3 協定。
- 保障金額 (Warranty):商業憑證附帶財務保障。若因憑證漏洞導致交易受損,CA 提供賠償(從數萬至百萬美元不等)。
- 付費 vs 免費:付費憑證提供 OV/EV 選擇、較長效期(1年)及專業技術支援,是企業建立權威性的首選。