问SSL证书等级2对3级对4级

EN

营销炒作(和成本)这不是规范的一部分。这是维基百科：

http://en.wikipedia.org/wiki/Public_钥匙_证书

供应商定义的类

VeriSign为不同类型的数字证书使用类的概念，3.：

• 第1类为个人，用于电子邮件。
• 要求证明身份的组织的第2类。
• 第3类用于服务器和软件签名，其身份和授权的独立验证和检查由颁发证书颁发机构进行。
• 公司间在线商务交易的第4类。
• 私人组织或政府保安的第5班。

其他供应商可能选择使用不同的类，或者根本不使用类，因为SSL协议中没有指定这一点，尽管大多数厂商都选择以某种形式使用类。

这是新的。他们过去经常核实所有的请求，以确保你是你所说的那样。这样你就可以在几分钟内而不是几天内拿到证书了。

任何“证书类”的价值都是纯粹的营销产品。从技术上讲，“证书颁发机构”(CA)只是浏览器预装的证书库中的常规SSL/TLS证书，但这些证书并不包括嵌入在几乎每个普通证书中的额外扩展标志：

Certificate Basic Constraints
  Critical
  Is not a Certificate Authority

从技术上讲，浏览器的证书库中的任何CA都可以创建额外的CA证书，只需在其签名的证书中包含此扩展即可，只有CA策略才能避免这种情况。扩展验证(EV)证书只是一个额外的扩展标志，上面写着

Certificate Policies
  Not Critical
  Extended Validation (EV) SSL Server Certificate

请注意“不重要”状态；任何软件都可以随意忽略这些内容。唯一阻止CA向其签名的每个证书添加此标志的是他们自己的策略。除此之外，它只是在签署证书之前添加到证书文件中的几个字节。

因此，基本上，这一切归结为拥有与浏览器所接受的最薄弱的CA相匹配的安全性。“证书类”在技术上只存在于用户可见CA标签中，因此它在安全性方面没有任何实际差异。因为所有CA在技术上都是相同的，如果单个CA的实际强制策略实际上是正确的，那么几乎没有任何区别--这是因为潜在攻击者总是可以使用另一个CA来获取他的假证书。

我强烈推荐观看莫西·马林斯派克的演讲，名为"SSL和真实性的未来“，发表在”黑帽子美国:2011年：http://www.youtube.com/watch?v=Z7Wl2FW2TcA“。它帮助您理解为什么当前的CA系统非常薄弱。

我建议购买任何在客户端软件中获得默认警告以保持沉默的证书。如果您想在浏览器UI中获得更好的徽章，请购买任何EV证书。如果和当您需要更多的安全，始终检查证书指纹由自己；永远不要信任任何第三方CA做好他们的工作。

不完全是。大多数信誉良好的证书供应商都执行所有的第3类检查表。EV证书只是相同检查的一个额外的彻底版本，您可能会因为更多的“常规”原因而不通过这些检查。