要幫網站裝上 SSL 憑證時,挑來挑去最容易卡住的,往往不是要不要加密,而是「我到底該買哪一種」。單網域、萬用字元(wildcard)、多網域(SAN),再加上 DV、OV、EV 三種驗證等級,名詞一大串交叉組合,光看憑證商的產品頁就頭昏。選錯的後果也很實際:明明子網域一直在長,卻買了只能保護一個主機名的單網域憑證;或是反過來,只有一個官網卻被推銷了一張要管 250 個欄位的多網域憑證。
萬用字元 SSL 憑證解決的是「同一個網域底下無限增生的子網域」,多網域 SSL 解決的是「好幾個完全不同的網域要塞進同一張憑證」,兩者處理的根本不是同一個問題。這篇會把 wildcard 與 SAN 的覆蓋邏輯講清楚,再把 DV/OV/EV 三個驗證等級擺進來,最後給一套依情境選型的判斷方式,讓你看完就知道自己的站該買哪一種。
萬用字元 SSL 憑證保護的是什麼
萬用字元 SSL 憑證用一個星號保護某個主網域底下「同一層級」的所有子網域。憑證簽發給 *.yoursite.com,那個星號就替你蓋住所有第一層子網域。
具體來說,一張 *.yoursite.com 的 wildcard 憑證會涵蓋:
www.yoursite.comblog.yoursite.comshop.yoursite.commail.yoursite.com
最關鍵的特性是,這些子網域不需要在購買當下就先列出來。憑證有效期內你才新增 app.yoursite.com,它一樣自動受保護,不必重新簽發、不必通知憑證商。對子網域會持續增生、或是動態產生子網域的網站來說,這省下的管理成本相當可觀。
這也是 wildcard 最常被選用的場景:一個 IT 或開發人手有限的團隊,與其每長一個子網域就申請、安裝、續期一張單網域憑證,不如一張萬用字元憑證一次包辦,安裝與續期的負擔大幅下降。
萬用字元只蓋一層,跨層級就失效
萬用字元憑證最常被忽略、也最容易踩到的限制是:它只保護「一個特定層級」的子網域。
*.yoursite.com 能保護 shop.yoursite.com、blog.yoursite.com 這種第一層子網域,但它不會保護 cart.shop.yoursite.com 這種第二層、再往下一層的子網域。星號只替換掉一個層級的名稱,多出來的那一層它認不得。
換句話說,如果你的架構長這樣:
第一層,被 *.yoursite.com 蓋到
第二層,不被蓋到
要把第二層也保護起來,得另外簽發一張 *.shop.yoursite.com 的萬用字元憑證,或是改用多網域憑證把這些深層名稱逐一列進去。這一點在規劃大型站台時務必先想清楚,否則上線後才發現深層子網域跳憑證錯誤,要回頭補簽很麻煩。
多網域 SSL 憑證保護的是什麼
多網域 SSL 憑證把多個「完全不同」的網域塞進同一張憑證裡。它的技術核心是憑證裡的 SAN(Subject Alternative Name,主體別名)欄位,每一個要保護的網域都會被明確列進這個欄位。也因為這個欄位,多網域憑證常被直接稱作 SAN 憑證,在微軟 Exchange 環境裡又叫 UCC(Unified Communications Certificate),三個名字指的是同一種東西。
和萬用字元最大的不同在於,SAN 裡的網域彼此不需要有任何關聯。同一張多網域憑證可以同時保護:
www.example.commybrand.com.twdev.anothersite.net
這三個根網域毫無關係,但只要都屬於同一個擁有者,就能共用一張憑證。零售業常見的多品牌、多地區官網,或是同時要管官網與郵件主機的情況,多網域憑證就很合用。
它的限制也很明確。第一,憑證能放的網域數量有上限,多數憑證商最多允許 250 個 SAN,有些方案甚至只給到 25 個。第二,每一個網域都必須事先列進 SAN 欄位,沒列進去就不受保護;中途要加網域,得重新簽發憑證。第三,多數方案的標價只含少量 SAN 欄位(常見是內含 3 個),超過的數量要額外加購授權。
萬用字元與多網域可以合在一起
如果你既有多個不同網域、每個網域底下又各有一堆子網域,市面上有「多網域萬用字元憑證」(Multi-Domain Wildcard)這種合體方案。它在 SAN 欄位裡放的是帶星號的萬用字元項目,等於一張憑證同時處理「跨網域」和「跨子網域」兩個維度。
這種憑證適合架構複雜的企業,但相對的,它的標價與管理複雜度也最高,通常是內含少量 SAN、超量另外計費。除非你的網域與子網域數量真的多到單靠 wildcard 或單靠 SAN 都罩不住,否則先用單一類型把需求滿足就好,不必一步到位上合體方案。
wildcard 與 SAN 的差別整理成一張表
把前面兩節的覆蓋邏輯並排,差異會更清楚。下表把萬用字元與多網域憑證在覆蓋對象、擴充方式、上限與適用情境上的不同列在一起。
| 比較項目 | 萬用字元 SSL(Wildcard) | 多網域 SSL(SAN/UCC) |
|---|---|---|
| 保護對象 | 一個主網域 + 其同一層級的所有子網域 | 多個彼此可不相關的網域 |
| 子網域數量 | 同一層級無上限 | 視 SAN 額度而定 |
| 是否需事先列出 | 子網域不必事先列出,自動涵蓋 | 每個網域都要列進 SAN 欄位 |
| 新增成員 | 同層級新子網域免重簽 | 加網域要重新簽發 |
| 跨層級子網域 | 不涵蓋,需另一張 wildcard | 可逐一列進 SAN |
| 數量上限 | 同層子網域無上限 | 多數上限 250,部分僅 25 |
| 典型情境 | 子網域持續增生的單一品牌站 | 多品牌、多地區、多網域並存 |
簡單記:煩惱的是「子網域」就看 wildcard,煩惱的是「不同網域」就看 SAN。兩者要素都有,才考慮合體方案或同時部署兩張。
DV、OV、EV 是在驗證什麼
前面講的 wildcard 與 SAN 是「憑證覆蓋幾個名稱」,DV、OV、EV 則是另一個維度——「憑證商在簽發前查證了你什麼」。這兩個維度互相獨立:一張憑證既要決定覆蓋範圍(單網域/萬用字元/多網域),也要決定驗證等級(DV/OV/EV)。
DV(Domain Validated,網域驗證)是最低、也最快的等級。憑證商只確認你對這個網域有控制權,通常透過 DNS 記錄或電子郵件驗證,幾分鐘到幾小時就能簽發,不查公司身分。個人站、部落格、一般中小型網站用 DV 就足夠加密連線。免費憑證機構 Let’s Encrypt 簽發的就是 DV。
OV(Organization Validated,組織驗證)在網域控制權之外,還會查證背後的公司或組織是否真實存在,含公司登記資訊與電話查證,簽發通常要幾個工作天。需要對外展現是合法登記企業的官網、客戶資料較敏感的服務,會選 OV。
EV(Extended Validation,延伸驗證)審核最嚴,除了網域與組織,還有更嚴格的實體與營運查核,流程最久。要特別注意的是,過去 EV 會在網址列顯示綠色公司名稱欄,但主流瀏覽器近年已陸續移除這個視覺標示,所以「買 EV 換綠色公司名」這個理由現在幾乎不成立;EV 的價值回到審核嚴謹度本身,多用於金融、大型電商這類信任門檻極高的場景。
為什麼買不到萬用字元的 EV 憑證
這裡有個常讓人意外的規則:EV 憑證不能是萬用字元。產業規範不允許簽發萬用字元 EV 憑證。
原因在於萬用字元的「通用性」與 EV 的「嚴格綁定」本質衝突。一張 *.yoursite.com 可以套用在任何一個還沒存在的子網域上,這種高度彈性一旦遇上網站被入侵或內部人員濫用,就等於放任一張有效憑證被拿去做不該做的事。EV 的整套設計就是要把憑證牢牢綁在一個經過嚴格查核的實體上,自然容不下星號這種開放式覆蓋。所以你能買到的萬用字元憑證只會是 DV 或 OV,多網域憑證則 DV、OV、EV 三種都有。
WordPress 與 WooCommerce 該怎麼選
回到台灣站長最常見的情境,多數人用的是 WordPress,有些再加上 WooCommerce 做購物功能,這時選型有幾個清楚的判斷點。
單一網域、沒有多個子網域:一般 WordPress 部落格或形象官網,網域就 yoursite.com 加一個 www,買單網域 DV 憑證、或直接用主機商附的 Let’s Encrypt 免費憑證即可,不需要 wildcard 也不需要 SAN。WooCommerce 購物站同理,只要全站都在同一個網域下,DV 等級就能讓結帳頁正常加密;要不要升級到 OV,取決於你想不想對外展現公司身分,與加密強度無關。
WordPress 多站網路(Multisite)用子網域模式:這是 wildcard 最對味的場景。多站網路如果用 site1.yoursite.com、site2.yoursite.com 這種子網域配置,一張 *.yoursite.com 萬用字元憑證就能一次蓋住所有目前與未來的子站,不必每開一個子站就補一張憑證。Let’s Encrypt 自 2018 年起也支援免費萬用字元憑證,透過 ACME 用戶端做 DNS-01 驗證(在 _acme-challenge 加一筆 TXT 記錄)即可簽發,適合願意設定自動化續期的進階使用者。
手上有好幾個不同網域:例如主站 yoursite.com、活動站 yourevent.com.tw、品牌站 anotherbrand.com 想統一管理,這就是多網域 SAN 憑證的場景。把這幾個網域列進同一張憑證的 SAN 欄位,續期時只要顧一張,省下分頭管理多張憑證的功夫。
涉及線上收款的 WooCommerce 站要補一句:SSL 憑證的角色是「加密傳輸通道」,確保信用卡或個資在瀏覽器到伺服器之間不被竊聽,但它不等於金流串接。實際的刷卡、轉帳是由金流服務商處理,憑證只負責把連線鎖起來,兩者是不同層次的東西,別把「裝了 SSL」誤解成「就能收款了」。
免費憑證和付費憑證差在哪
免費與付費憑證在「加密強度」上沒有差別,差的是驗證等級、保固與支援。
Let’s Encrypt 這類免費憑證一律是 DV 等級,只驗網域控制權,且憑證效期較短(目前約 90 天),必須靠自動化工具定期續期。對個人站、部落格、單純加密需求來說,這完全夠用,也是現在的主流做法。
付費憑證的價值不在加密本身,而在三件事:一是能買到 OV、EV 這種會查公司身分的較高驗證等級;二是憑證商提供的相對保固與技術支援;三是部分商業憑證效期較長、管理介面較完整。如果你只是要把連線加密,免費 DV 就達標;要對外證明組織身分、或需要憑證商在出事時提供支援與賠付承諾,再考慮付費的 OV 或 EV。
至於價位,市面上 DV 萬用字元憑證的商業方案大致從每年數十美元起跳,OV 萬用字元與多網域方案因為要查證組織,價格明顯往上,EV 多網域則落在更高的區間,且超量 SAN 多半另計。實際金額依憑證商與促銷而定,挑選時先確定需要的覆蓋範圍與驗證等級,再去比同級方案的價格才有意義。
該怎麼從自己的網站架構選出正確的那一張
選 SSL 憑證的順序其實只有兩步:先看「要蓋幾個名稱、長什麼樣」決定覆蓋類型,再看「需不需要查證組織身分」決定驗證等級。
覆蓋類型上,單一網域就買單網域憑證,同一網域底下子網域會增生就用萬用字元,多個不相關網域要合管就用多網域 SAN,兩種需求都很重才上多網域萬用字元;同時記得萬用字元只蓋一層,深層子網域要另外處理。驗證等級上,純加密用 DV,要展現合法企業身分用 OV,金融級信任門檻才需要 EV,而且萬用字元買不到 EV。
對絕大多數台灣的 WordPress 與 WooCommerce 站長來說,主機商附的 Let’s Encrypt 免費 DV 憑證就能滿足日常加密;只有當你跑子網域型多站網路、要管多個品牌網域、或需要對外證明組織身分時,才真正需要往 wildcard、SAN 或 OV/EV 升級。先盤點清楚自己手上有幾個網域、子網域會不會長、要不要查公司身分,答案自然就浮出來了。