背景

在日常环境中，有时候一些项目的内部或外部需要三级域名支持，且还需要SSL加密通信。购买时如何选择呢？

域名的结构

以domain.com为例，通俗上我们称之为一级域名或顶级域名。（技术上并非如此）。那么像www.domain.com的www被称为主机名或www.domain.com也叫二级域名。除了www的主机名之外，还可能有images、blog等不同的主机名（子域名）。

购买域名的时候，一般提供三种选项：单个域名、多个域名、泛域名；

• 单域名：顾名思义，就是一个域名；如：www.domain.com
• 多域名：同域下多个子域名；如：www.domain.com、blog.domain.com、images.doamin.com。
• 泛域名：也叫通配符域名。即这个域下的所有子域名都支持。如：*.domain.com。*号代表通配符，可以任意定义，符合规则(数字、字母、下划线、横线)就可以。技术上*号代表的数量是不限制的，不过有些厂商会有限制，分配一些额度。

证书类型

不同的证书类型最大的区别在于证书厂商验证的范围不同，和证书所用技术关系不大，对于SSL加密安全不必担心。

DV

Domain Validation的缩写，证书颁发机构只验证域名的所有权；不验证网站的所有权，即无法保障网站是否合法以及真实身份。通常情况下，适用于个人类型的网站，如博客或一些个人站点。价格上也会便宜些，是三种里面最便宜的。

OV

Organization Validation的缩写，证书颁发机构需要验证域名所有权和网站所有者单位的真实性与合法性；通常情况下，企业用户或一些社会组织单位会选择这类的，申请需要验证单位实体，不仅限于商业实体，非盈利组织也包含。

EV

Extended Validation的缩写，证书颁发机构会严格验证很多资料，一般适用于大型企业、银行、各类金融机构以及各类在线交易类的企业或单位。在早期IE时代，EV类型的SSL证书会显示绿色地址栏。EV的费用也是最贵的。

证书的发行商

即证书的品牌，通常情况下，使用者无需关心，主流的都被浏览器所支持。不同的厂商区别在于支持的是域名后缀、费用、加密算法和颁发速度不同。在使用、部署上无差别。

证书的加密类型

RSA、ECC、SM2(国密)、AES、3-DES、SNOW等很多种。其中RSA和ECC兼容和普及性比较多。越高的加密算法会带来额外的性能开销，对于流量很大的站点来说，需要考虑。

购买选择

泛域名(通配符)支持本身以及下一级子域名(二级子域名)，不支持下下一下子域名（三级子域名）；

比如，当要支持*.domain.com的泛域名，那么，可以支持www.domain.com、blog.domain.com...通常情况下数量是不限制的，比如阿里云限制250个。腾讯云支持100个。

要支持*.sub.domain.com的泛域名，直接购买这种结构的即可。sub子域是固定的，支持的子域可以是a.sub.domain.com、b.sub.domain.com...。通配符一次只支持一个，不允许*.*.domain.com，这类的写法。

如果需要多个很多个三级域名，那么每个需要购买一次，即每个算是一个SSL支持域。如：*.sub1.domain.com、*.sub2.domain.com、*.sub3.domain.com，则需要购买3个泛域名证书。

阿里云的说明

腾讯云的说明