SSL OV 证书相比于 DV 证书的意义在哪？

以前是 CA 故意限制 DV 证书的使用范围，比如 IP 证书以前就是 OV Only 。

现在一部分是出于惯性，而且已经有很多公司改用普通 DV 甚至 Let's Encrypt 了。

另外一部分是 Enterprise PKI 这种本身就验证了组织信息，签出来的就直接是 OV 。

以及 DigiCert 的证书都是 OV 起步，而 DigiCert 证书兼容性最好再加上收了 Symantec 的客户。（当然实际上 DigiCert 也是有 Cloud SSL 这种 iCA 的，但一般不面向最终客户）

oott123

2022-01-14 12:47:51 +08:00

技术上没有任何区别。

有解释说这是为了显得你公司肯花钱，提升商业信誉。

a1274598858

2022-01-14 14:17:59 +08:00

证书没有任何区别，只是使用者项会给你多个 O OU L ST C

salmon5

2022-01-14 18:04:52 +08:00

google.com 现在用了 DV 证书；
但是技术上有一些差别：digicert 的 OV 证书有专用的中国 crl 和 ocsp 服务器； GlobalSign 的 OV 证书有专门的全球 cdn ；
有些浏览器访问响应会快一些。

stevenhawking

2022-01-14 18:57:51 +08:00

本质上区别不是很大；细节上有些差异。
楼上写的：但是技术上有一些差别：digicert 的 OV 证书有专用的中国 crl 和 ocsp 服务器； GlobalSign 的 OV 证书有专门的全球 cdn ；
我们旗下的 quantum secure 品牌提供的 DV ，OCSP 服务器（注意，是服务器，不是 CDN 反代）也在大陆

Showfom

2022-01-14 19:07:23 +08:00

对普通访客来说没啥大区别，对网站管理者来说，OV 证书的保险更高，尤其是对大公司，OV 比 DV 要更靠谱，小公司的话无所谓了，好多用 Let's Encrypt 的也没见啥抱怨的
@salmon5 #4 Google 的证书他自己发的，对他们来说 OV DV 没区别了

salmon5

2022-01-14 22:26:37 +08:00

OV 安全性高一些，它申请要核实公司营业执照和座机电话； DV 没有这些，更容易被伪造申请，安全上低一些。

salmon5

2022-01-14 22:29:15 +08:00

@Showfom #6 是啊，这么理解 google 确实没必要 OV ；不是自己签发的企业，从安全上考虑，还是很有必要 OV 的；
当然也看具体业务，比如 douyin.com 就是 DV 证书；

Showfom

2022-01-14 22:32:29 +08:00

@salmon5 #8 这抖音用的最便宜一档的 RapidSSL DV 野卡= =

Explr

2022-01-15 00:20:26 +08:00 via Android

@salmon5 问题是，如果攻击者想办法欺骗 CA 搞到了一个 DV 证书，照样可以劫持 DNS 钓鱼，浏览器并不会提醒用户网站证书发生了变化。OV 的额外验证在防止 DNS 劫持这个场景下似乎比 DV 证书没有太多优势。

但是如果用户不确定某个域名是否属于某企业，可以看一眼 OV 证书确认。虽然这么做的人不多但是确实有这个场景。有史以来我只有一次通过看 OV 证书确认营销短信中域名的归属。

lrvinye

2022-01-15 01:03:06 +08:00 via iPhone

ov ev 一般是有保险额度的，随着证书价格增长，
而 dv 一般没有或者保额较少，
如果由于证书所导致的问题有保额是可以获赔的

salmon5

2022-01-17 10:04:52 +08:00

@Explr to C 业务 OV 确实意义不大，用户不可能频繁的检查 OV 证书信息；我想到一种场景，to B 的接口请求定期检查 OV 证书企业信息，能提交安全性。

Opportunity

2022-01-17 11:21:10 +08:00

#10

如果配了 DNS CAA 的话，是不是就只能骗 OV 了，从而提高了安全性？

hxndg

2022-01-18 23:36:47 +08:00

说白了还是服务啊，你要是说证书的区别内容啊，签名啊啥归根到底就是个签名，能有啥区别呢。。。。要么 RSA2048 要么 ECC 。。。