ECC(椭圆曲线密码)证书是一种基于椭圆曲线密码学(Elliptic Curve Cryptography,ECC)的数字证书。ECC是一种公钥密码体系,它使用基于椭圆曲线数学的密钥生成和加密算法。以下是ECC证书的一些关键特点:

  1. 安全性:ECC证书提供了与传统非对称加密算法(如RSA)相当的安全性,但所需的密钥长度更短。这意味着ECC证书可以用更小的密钥大小提供相同甚至更高的安全级别。
  2. 效率:由于密钥长度较短,ECC算法在计算上更为高效,这使得它们在处理速度和能耗方面具有优势,特别是在资源受限的设备上。
  3. 抗量子计算攻击:虽然ECC证书并不免疫于量子计算攻击,但它们通常被认为比RSA等传统算法更具有抵抗力,因为破解ECC需要的量子计算资源可能更多。
  4. 兼容性:ECC证书与现有的SSL/TLS协议兼容,可以用于加密网络通信,如HTTPS、VPN等。
  5. 应用场景:ECC证书适用于需要高安全性和高效率的场景,如移动设备、物联网(IoT)设备、智能卡等。
  6. 证书结构:ECC证书包含公钥、私钥、证书颁发机构(CA)的签名、有效期等信息,与RSA证书结构类似,但使用的是椭圆曲线算法生成的密钥对。
  7. 标准和算法:ECC有多种标准和算法,如NIST P-256、P-384、P-521等,它们定义了不同的椭圆曲线参数。
  8. 浏览器和系统支持:大多数现代浏览器和操作系统都支持ECC证书,但支持程度可能因版本和配置而异。

ECC证书因其较高的安全性和效率,正在逐渐被更多地采用,尤其是在需要轻量级加密解决方案的场景中。

购买的SSL证书虽然是三年期的,但显示为一年有效期,其实无需担心。

这是因为自2020年9月1日起,所有CA中心签发的SSL证书的最长有效期为397天(13个月)。多年期证书服务仅是某些服务商,例如某些平台,针对该问题提供的一种解决方案,表示您实际获取的是服务商2年或3年的证书服务时长。具体来说,购买3年证书服务时长,即包含3张1年有效期的SSL证书和2次托管服务,且实际托管服务都是需要收费的。

意思就是说,尽管您支付了三年的服务费用,但实际的SSL证书仍然是一年一签发,以符合CA的规定和浏览器厂商的要求。这样做的原因是为了提高安全性,确保网站持续进行安全性和身份验证,以及适应技术和安全标准的发展。您的证书有效期虽然显示为一年,但实际上,服务商会在证书到期前自动为您续签新的证书,确保您享受三年的服务时长,需要每年到平台下载新的证书安装,无需您手动申请续费及做域名的验证等工作。

国密SSL证书是一种基于国密算法的安全证书,用于保护网站和应用程序的通信安全。它采用国家密码管理局指定的国密SM2、SM3、SM4算法,具有更高的安全性和可靠性。以下是国密SSL证书的一些关键特点和优势:

国密 SSL 证书特点:
高安全性:

加密强度高:采用我国自主设计的 SM2 公钥密码算法体系,单位安全强度较高。例如,SM2 算法普遍采用 256 位密钥长度,其安全程度比 RSA 2048 更高,破译或求解难度基本上是指数级的,能有效防止数据泄露和篡改。
杂凑算法可靠​:使用 SM3 密码杂凑算法,能够计算出 256 比特散列值的单向散列函数,可用于数字签名和验证、消息认证码的生成和验证以及随机数的生成,保证数据的完整性。
自主可控:采用我国自主研发的密码算法,降低了对外部供应链的依赖,避免了因国外技术限制或断供等风险,提高了我国网络信息安全的自主可控水平

快速传输:SM2 算法支持更短的密钥,在网络通信过程中,与传统的 RSA 密码相比,可以使用更短的密钥长度实现更强的加密程度,降低了数据传输量,减少了 SSL 握手时间,提高了网站的响应速度**

符合法规要求:满足《中华人民共和国密码法》《商用密码管理条例》《网络安全等级保护 2.0 制度》等相关法律法规及国家政策监管要求,适用于政府机构、事业单位、大型国企、金融银行等对数据安全和合规性要求较高的领域。

多重认证支持:能够对用户的身份进行严格的多重认证,进一步保障信息安全,防止有害信息的泄露

数据不出国:国密 SSL 证书的相关认证服务,如 OCSP、CRL 列表、时间戳服务器等都部署在国内,能更好地保证国内用户的数据安全和隐私。

常见的SSL证书错误及其解决方法如下:

  1. 证书过期错误

    • 错误代码NET::ERR_CERT_DATE_INVALID
    • 原因:SSL证书已过期。
    • 解决方法:续订或重新购买新的SSL证书,并正确安装在服务器上。
  2. 证书不匹配错误

    • 错误代码NET::ERR_CERT_COMMON_NAME_INVALID
    • 原因:网站使用的证书与域名不匹配。
    • 解决方法:确保SSL证书中的域名与访问的域名一致,如有必要,获取包含正确域名的新证书。
  3. 不受信任的SSL证书

    • 错误代码NET-ERR-CERT-AUTHORITY-INVALID
    • 原因:证书可能自签名或由不受信任的CA颁发。
    • 解决方法:确保从受信任的CA机构申请SSL证书,并确保所有中间证书和根证书都已正确安装。
  4. 混合内容错误

    • 原因:网站通过HTTPS加载了部分HTTP资源。
    • 解决方法:确保所有资源链接都更新为HTTPS链接,避免混合内容。
  5. 证书吊销错误

    • 错误代码NET::ERR_CERT_REVOKED
    • 原因:证书可能因安全问题被CA吊销。
    • 解决方法:检查证书状态,如果证书被吊销,联系CA了解原因并获取新证书。
  6. 域名验证失败

    • 原因:域名验证方法不正确或未完成验证。
    • 解决方法:确认使用了正确的域名验证方法,并正确完成验证。
  7. 私钥丢失

    • 解决方法:重新签发证书。如果私钥丢失,应立即重签证书以避免数据泄露风险。
  8. CSR无效

    • 原因:CSR文件中的信息填写错误或与私钥不匹配。
    • 解决方法:重新生成CSR文件,并确保信息准确无误。
  9. 通用名称不匹配

    • 原因:通配符证书的域名格式错误或非通配符证书错误地使用了通配符格式。
    • 解决方法:确保通配符证书的域名格式正确,非通配符证书直接填写域名。
  10. SAN选项不匹配

    • 原因:提交的SAN(主题备用名称)与证书中的SAN不一致。
    • 解决方法:确认输入的SAN与证书包含的SAN一致,避免拼写错误或格式错误。

以下是一些通过国际权威的WebTrust认证的CA(证书颁发机构):

  1. DigiCert:作为全球领先的SSL证书提供商之一,DigiCert已通过WebTrust认证,并建立了良好的声誉和信誉。
  2. Symantec(已被DigiCert收购):Symantec是一家领先的网络安全公司,其旗下的证书品牌包括Symantec、Thawte、GeoTrust等。在被DigiCert收购之前,Symantec也通过了WebTrust认证。
  3. GlobalSign:GlobalSign是一家全球领先的数字证书和身份验证解决方案提供商,其证书产品包括SSL证书、代码签名证书等,并通过了WebTrust认证。
  4. GeoTrust:GeoTrust是全球第二大数字证书颁发CA机构,也是身份认证和信任认证领域的领导者,是Digicert旗下的一款优质的SSL证书品牌。
  5. Entrust:Entrust是一家全球领先的数字身份和安全解决方案提供商,其提供的SSL证书已通过WebTrust认证。
  6. Sectigo:Sectigo拥有超过20年的数字证书行业经验,证书发行量全球第一,是全球优秀的网络安全服务提供商和SSL证书服务商之一。
  7. CFCA(中国金融认证中心):CFCA是经国际权威的WebTrust认证以及中国人民银行和国家信息安全管理机构批准成立的国家级CA,也是国内一流水平的电子认证服务机构和信息安全综合解决方案提供商。