免责声明：此答案直接来自eHow 文章。无意侵权。

域验证 SSL 证书

域验证 SSL 证书用于建立与网站的基线信任级别，并证明您正在访问您认为正在访问的网站。这些证书是在 SSL 颁发者确认域有效并且归请求证书的人所有之后颁发的。无需提交任何公司文件即可获得域验证 SSL 证书，并且这些类型的 SSL 证书可以非常快速地颁发。这些类型的证书的缺点是任何人都可以获得它们，并且除了保护您的网络浏览器和网络服务器之间的通信之外，它们没有任何实际意义。

组织验证 SSL 证书

组织验证 SSL 证书颁发给公司，并提供比域验证 SSL 证书更高级别的安全性。组织验证证书要求验证某些公司信息以及域和所有者信息。与域验证证书相比，此证书的优势在于它不仅可以加密数据，而且还可以对拥有该网站的公司提供一定程度的信任。

扩展验证 SSL 证书

扩展验证 SSL 证书是“顶级”SSL 证书。获得证书需要公司经过严格的审查程序，并且必须在颁发证书之前验证公司的所有详细信息为真实合法。虽然此证书可能看起来类似于组织验证 SSL 证书，但主要区别在于对域所有者和申请证书的公司执行的审查和验证级别。只有通过彻底调查的公司才能使用扩展验证 SSL 证书。现代浏览器可以识别这种类型的证书，并由浏览器 URL 部分中的彩色条指示。

此外，OV 与 EV 在妥协的情况下也会对保险金额产生影响。EV 的保险费比 OV 高很多。

阅读更多/原文：Mickey Walburg，SSL 证书的差异 | eHow.com

检查证书的有效性最终是客户用户的责任。作为服务提供者，除了可以教育用户之外，你无能为力：你无法控制用户浏览器信任哪些证书，你无法知道用户是否验证了他们正确使用 SSL/TLS 并且没有忽略潜在的警告。

您需要尝试评估的是您的用户将如何反应并检查您的证书。我假设您网站的目标受众不一定是技术或 PKI 专家。您的用户将如何反应将取决于他们对证书的了解。不幸的是，有很多关于这个主题的相互矛盾或模糊的信息，甚至来自 CA 本身（请记住，CA 的既得利益在于让他们的客户想要购买更昂贵的证书）。

验证模式

（公钥）证书的一般用途是将身份绑定到公钥（因此使用 SSL/TLS 握手中的相应私钥将身份绑定到服务器）。

Lucas Kauffman 已经写了一个答案，详细说明了域验证证书、组织验证证书和扩展验证证书之间的区别。您需要问自己的真正问题是您要向用户证明什么。

这些类型的证书之间的区别在于身份本身是如何定义的。

经域验证的证书可向您保证该证书已颁发给该域的所有者。不多，但不少（我假设验证程序在这里是正确的）。在许多情况下，这已经足够了。这一切都取决于您正在推广的网站是否需要链接到一个已经众所周知的离线机构。当您也需要将域绑定到物理组织时，针对组织验证的证书（OV 和 EV 证书）主要有用。

例如，对于一个最初通过其建筑而闻名的机构（例如美国银行）来说，能够说证书bankofamerica.com确实是针对您提供实物资金的地方是很有用的。在这种情况下，使用 OV 或 EV 证书是有意义的。如果域名背后的机构存在歧义（例如apple.com和apple.co.uk

相比之下，www.google.com谷歌对公众的定义是什么；Google 没有必要证明它google.com属于真正的 Google。因此，它使用了一个域验证的证书（同样适用于amazon.com）。

同样，如果用户知道如何检查，这真的很有用。浏览器在这里并没有真正的帮助。如果您想了解更多关于证书的详细信息，Firefox 只会说“由（未知）运行” www.google.com，而没有真正说明这是什么意思。

扩展验证证书试图通过使组织验证程序更严格，并使结果更明显：绿色条和更明显的组织来改善这一点。

不幸的是，我认为这有时会增加混乱。这是一个您可以自己检查的示例：英国的一家大型银行 (NatWest) 将其https://www.nwolb.com/用于其在线银行服务。域名属于 NatWest（顺便说一下，他也拥有更合乎逻辑的natwest.co.uk名称）这一点并不明显。更糟糕的是，扩展验证（如果您检查绿色栏旁边的名称）是针对“苏格兰皇家银行集团 plc”进行的：

对于那些关注财经新闻的人来说，这是有道理的，因为 RBS 和 NatWest 都属于同一个集团，但从技术上讲，RBS 和 NatWest 是竞争对手（并且都在英国的大街上设有分支机构——尽管这会改变）。如果您的用户不知道哪些集团以哪个名称进行交易，那么以潜在竞争对手的名义颁发证书这一事实应该敲响警钟。如果作为用户，您看到gooooogle.com颁发给 Microsoft 或 Yahoo 的证书，无论该栏是绿色的，您都不应将此视为 Google 的站点。

EV 证书要记住的一点是，它们的配置是硬编码到浏览器中的。这是一个编译类型设置，以后无法配置（与普通的受信任证书存储不同，例如，您可以在其中添加自己的机构 CA 证书）。从更愤世嫉俗的角度来看，有些人可能会认为这是主要参与者在市场上保持强势地位的便捷方式。

密封件

一些 CA 还提供各种“印章”，您可以将它们放在您的网站上，通常根据您购买的证书类型使用不同的颜色。它们似乎是为了防止信誉不佳的 CA 向错误的一方颁发有效证书的额外步骤。

据我所知，从安全的角度来看，这些完全没有用。事实上，当您单击它以验证您的证书时（例如，如果您单击GoDaddy的“已验证安全”徽标，您最终会进入此页面），没有任何东西告诉您您看到的证书与发送到后面的服务的那个seal.godaddy.com。事实上，如果你和 之间有一个 MITM 攻击者，并且example.com有另一个由草率 CA 颁发的有效证书example.com，那么那个 MITM 攻击者就不会在example.com和之间seal.godaddy.com。除非用户真的详细查看证书，否则印章不会有太大帮助（请记住，攻击者可以简单地删除印章链接或将其指向另一个 CA 的链接）。

保险

有些证书还附带某种保险。如果交易期间出现问题，您将获得某种补偿，金额不超过有限金额。我不清楚要求这种保险的条件是什么。

选择哪一个？

归根结底，大多数用户保留了与他们的操作系统或浏览器捆绑在一起的受信任 CA 证书的默认列表。由于用户界面不能非常清楚地区分 CA，因此用户（其负责检查证书）所看到的整体安全性将被每个类别中的最低公分母（蓝色和绿色条）降低。

如果将域名与“实体”组织联系起来很重要，那么值得考虑使用 EV 证书。我个人认为 UI 区分 DV 和 OV 证书的方式不足以使显示带有蓝色条的组织名称有用。

如果您主要以您的域为人所知（或者如果从用户的角度来看，该域是您的完全没有歧义），请选择任何蓝条证书。（如果这与您的网站相关，请查看保险详细信息。）

重要的一点是 SSL 证书的（唯一）目的是验证您正在与之通信的服务器的身份。

关于连接的加密和安全性的一切都是在浏览器和服务器之间协商的，与证书无关。只要嵌入在证书中的密钥足够大并且没有被泄露，免费证书与 2000 美元证书的连接同样安全。

证书的价格反映（或至少应该反映）发行公司为验证您是否应该被允许拥有该证书而进行的审查量。

编辑

证书是关于信任而不是安全的。这是一个微妙的区别，但很重要。只要我可以验证密钥，我就可以使用自签名证书完全安全。在这种情况下，即使是最轻微的程度，EV 证书也绝对不会为我提供更多保护。但是其他人呢？我提前知道要信任哪个密钥，但他们不知道。这就是 CA 的角色。

所有受公众信任的 CA 都要求您在颁发证书之前验证您的域的所有权，因此从这个意义上说，2000 美元的 Verisign 证书等于免费的 Startcom 证书。但这只是故事的一半。

还记得Mountain America Credit Union的奇特案例吗？攻击者能够冒充银行并从 Equifax 获得 SSL 证书、发行公司的官方印章、验证公司位置（和假定合法性）的 ChoicePoint 指示器——所有这些都是完全干净、合法和正确发行的。他们的秘密？银行使用域名macu.com，而这些攻击者使用的名称mountain-america.net。当他们申请证书时，他们并没有说他们是一家银行（这会引发危险信号），而是建立了一个看起来完全无辜的网站。可能是登山靴、瓶装水或关于住在山上的博客。谁知道。但在颁发证书后，他们将其更改为复制信用合作社网站。

从理论上讲，这正是 EV 认证应该防范的那种攻击。使用虚假身份或基于不存在的公司获得 EV 证书应该要困难得多。可能不是不可能，但理论上更难。因此，如果它被证明是欺诈，那么至少你有肇事者的地址......或者你希望如此。

问题是，当您大规模销售信任时，很难保持产品清洁。像 Mountain America 惨败这样的违规事件发生了，即使你可以召集所有的审查和检查，因为一旦颁发了证书，用户就可以改变他的故事。

2000 美元证书最重要的安全特性可能就是价格本身。它说，“这个人为这张证书支付了 2000 美元”。据推测，打算将其用于邪恶的人会选择更便宜的替代品。这有点傻，但可能也是正确的。

SSL证书主要有3种：

(1) 域验证 SSL 证书

• 它有一个不太严格的验证程序。
• 只有申请人的姓名和联系信息会与注册时输入的数据进行核对和验证。
• 不检查合法因素，因此，这对于不传输或处理非常敏感数据的在线站点或企业来说非常有用。
• 它直接与域名绑定，从而向用户保证网站的真实性；但是，它不鼓励浏览器警告。

(2) 扩展验证 SSL 证书

• 它于 2007 年推出，是首批严格遵循行业准则的协议之一。
• 认证申请和验证过程极其严格。
• 每一个商业凭证都经过仔细和详细的验证。
• 对于使用此协议的站点，确保站点是否受到保护的一种方法是检查浏览器导航窗口。如果站点安全，它会变为绿色，并在危险开始时变为红色。
• 它有助于保持高保证标准，并验证业务的真实性。

(3) 组织验证 SSL 证书

• 对申请人业务的合法性进行检查。
• 它遵循严格的验证程序，几乎验证了业务的所有信息。
• 对于处理极其机密信息的在线企业来说，这是一个绝佳的选择。

^{(来源: Buzzle )}