打开任何一个数字证书售卖网站都可以看到它们通常将数字证书分为两个大类:SSL证书和数字签名证书。

SSL证书的主要作用是对网站进行身份验证和传输数据加密;

数字签名主要用于验证信息的真实性和完整性,根据使用场景的不同大致分为如下几类:

  • 对客户端程序(.exe、.dll、.sys等文件)签名的代码签名证书。
  • 对PDF等文档签名的文档签名证书。
  • 对电子邮件及其附件签名和加密的邮件安全证书。

颁发机构

有很多机构都可以颁发数字证书,比如 GlobalSign、DigiCert、Geotrust、Sectigo、WoTrus、Entrust 等,有的机构只能颁发SSL证书,有的机构可以颁发所有类型的证书。

机构有大小之分,所颁发的证书也有知名度和认可度之分,价格也有高低之分。

DV、OV、EV的区别

首先介绍一下它们的全称:

1
2
3
4
5
DV = Domain Validation 域名验证

OV = Organization Validation 机构验证

EV = Extended Validation 扩展验证

要了解 DV、OV 和 EV 这三类证书之间的区别,首先要了解 DigiCert 等证书颁发机构(CA)是如何颁发证书的。

CA 是受信任的第三方,它们通过验证证书申请者的几个细节来确定是否可以颁发证书。申请三种类型的证书所需要验证的条件从 DV -> OV -> EV 依次增加,这也就导致了三种类型的证书的可信度也是依次增加的。

在 DV 级别,此验证流程相当短,只要求购买者证明其对域名或URL的所有权。验证方式是CA向(WHOIS数据库所列的)域名所有者发送电子邮件。如果您立即需要证书,这算是一种便捷的验证方法,但这种只进行一项检查的验证形式是互联网中最低标准的验证形式,其相应的信任度也应该是最低的。

由于 DV 证书只验证域名的所有权,因此 DV 类型的证书只存在于 SSL 证书中。

OV 和 EV 证书的区别在于获取证书所需要的额外的验证条件和步骤。对于EV和OV证书,CA必须验证域名所有者以及与证书相关联的企业的相关详细信息,包括名称、类型、状态和实际地址。

而要获得EV,还需要九个额外步骤,包括验证企业的对外电话号码、开展业务的年限、注册号和管辖权,以及域名欺诈检查、联系人黑名单检查并致电以验证申请者的就业情况。

我们购买证书通常是通过CA机构在国内的代理商来申请和购买的,因此具体需要验证哪些材料,可以咨询代理商(如亚洲诚信、锐成信息、数安时代等等,多如牛毛)。

SmartScreen

在介绍 OV 和 EV 证书的区别之前,我们有必要先了解一下 Windows 上的 SmartScreen 特性。

SmartScreen 全称 Microsoft Defender SmartScreen,是 Windows、Internet Explorer 和 Microsoft Edge 提供的一个可防止网络钓鱼、恶意软件网站、应用程序以及潜在恶意文件下载的安全功能。

SmartScreen 通过联机服务检查有关下载的应用程序的数字签名信息,以确定下载程序的信誉。如果此应用程序没有建立信誉,SmartScreen 会认为它是恶意程序的风险较高,就会向用户显示诸如“未知发布者”的警告。

下面是几种可能出现的 SmartScreen 警告的样式:

对于此类警告,微软的建议是“使用代码签名对程序进行数字签名”,“使用属于 Windows 根证书计划的证书颁发机构(CA)颁发的代码签名证书”,以验证发布者的真实身份,确保应用程序代码的完整性。

使用 OV 类型证书签名的程序可能不会立即消除 SmartScreen 警告,需要累计一定的下载量后才会消除,微软没有公布具体的消除规则。因为 EV 类型证书签名的审核规则更加严格,因此使用 EV 类型证书签名的程序可以立即消除该警告。

代码签名证书OV和EV的区别

下面列出了OV和EV类型的代码签名证书的不同之处。

OV类型的代码签名证书也称之为普通或标准型代码签名证书。

区别 OV代码签名证书 EV代码签名证书
审核内容 企业信息 企业信息及其他的信息。
绝大多数公司都是可以申请的,只是需要签署更多的材料而已
颁发周期 时间不固定,1周左右 时间不固定,1~2周左右
可签名的软件类型 只支持签名应用软件,
如.exe、.dll、.cab、.ocx、.msi、.xpi,
不能签名驱动程序
支持签名应用软件和驱动程序
Windows硬件认证
(WHQL)
亦称徽标认证
不支持 支持
SmartScreen即时信誉 通过累计获得信誉,
但微软未公布具体规则
立即获得

如何区分OV和EV代码签名

从上图可以看出,EV证书比OV证书多了很多字段。