Tipuri de certificate SSL
Tot ce trebuie să știi despre certificatele digitale: tipuri de validare, acoperire domenii, semnare cod, securizare email. Explicații tehnice și practice pentru fiecare categorie.
Nivelul de validare determină cât de riguros verifică autoritatea de certificare (CA) identitatea solicitantului înainte de a emite certificatul. Cu cât validarea este mai strictă, cu atât certificatul oferă mai multă încredere vizitatorilor. Toate nivelurile oferă aceeași criptare (256-bit) — diferența este doar în procesul de verificare și în informațiile afișate.
Domain Validation (DV)
Un certificat DV confirmă doar că solicitantul deține controlul asupra domeniului. Autoritatea de certificare nu verifică identitatea persoanei sau a companiei — doar faptul că ai acces la domeniu, prin una din metodele: email de validare (admin@domeniu.ro), înregistrare DNS (CNAME/TXT) sau fișier HTTP pe server.
- Emitere automată, fără documente sau apeluri telefonice
- Cel mai accesibil ca preț dintre toate tipurile
- Criptare identică cu OV și EV (AES 256-bit, cheie RSA 2048-bit)
- Compatibil cu 99.9% din browsere și dispozitive mobile
- Proces complet online, fără interacțiune umană
Detaliu tehnic: Certificatele DV folosesc același protocol TLS 1.2/1.3 și aceleași algoritmi de criptare ca OV și EV. Diferența dintre ele nu este în securitatea conexiunii (care este identică), ci în nivelul de încredere pe care îl transmit vizitatorilor prin informațiile incluse în certificat.
Bloguri, portofolii personale, site-uri informative, landing pages, proiecte în dezvoltare, site-uri de prezentare fără tranzacții financiare, medii de testare/staging.
Vezi certificate DV pe synssl.ro
Organization Validation (OV)
Un certificat OV confirmă atât proprietatea domeniului, cât și existența legală a organizației. Autoritatea de certificare verifică: denumirea oficială a companiei, adresa sediului, numărul de telefon și dreptul de a solicita certificatul. Procesul implică verificarea în registre publice (ex: Registrul Comerțului) și, uneori, un apel telefonic de confirmare.
- Vizitatorii pot verifica identitatea companiei inspectând certificatul
- Include sigiliu de securitate (Site Seal) cu informații în timp real
- Garanție financiară semnificativ mai mare decât DV
- Obligatoriu pentru unele industrii reglementate
- Inspiră încredere suplimentară față de DV în ochii clienților
Detaliu tehnic: Câmpurile organizaționale (O, L, ST, C) din subiectul certificatului X.509 sunt populate cu datele verificate ale companiei. Orice vizitator poate inspecta aceste câmpuri din browser (click pe lacăt → Certificate → Details → Subject). La DV, aceste câmpuri lipsesc.
Atenție: Certificatele OV pot fi solicitate doar de organizații legal constituite (SRL, SA, PFA, ONG etc.), nu de persoane fizice. Va fi nevoie de documente care atestă existența legală a companiei.
Magazine online (e-commerce), site-uri de companie, aplicații business, API-uri comerciale, intranet-uri, platforme SaaS, site-uri cu formulare ce colectează date personale.
Vezi certificate OV pe synssl.ro
Extended Validation (EV)
Certificatele EV implică cea mai riguroasă verificare a identității organizației. Autoritatea de certificare verifică: existența legală și operațională a companiei, adresa fizică a sediului, identitatea persoanei care solicită certificatul, dreptul exclusiv de a folosi domeniul și conformitatea cu liniile directoare EV ale CA/Browser Forum.
Procesul poate include: verificare în registre comerciale, confirmare telefonică, verificare a adresei prin scrisoare sau factura de utilități, validarea autorității persoanei de contact prin avocatură sau notar.
- Cel mai înalt nivel de încredere pentru vizitatori
- Garanție financiară maximă (până la $1.750.000 în funcție de brand)
- Protecție superioară împotriva phishing-ului — atacatorii nu pot obține EV
- Cerință frecventă în industria financiară și asigurări
- Certificatul conține informații detaliate verificabile public
Detaliu tehnic: Certificatele EV conțin un câmp special — Policy OID (2.23.140.1.1) — care le identifică unic ca EV. Browsere precum Chrome afișează numele organizației în detaliile certificatului. Standardele de emitere sunt reglementate de CA/Browser Forum prin „EV SSL Certificate Guidelines” și sunt actualizate periodic.
Bănci și instituții financiare, platforme fintech, e-commerce cu volum mare de tranzacții, platforme de plăți online, site-uri guvernamentale, companii de asigurări, platforme cu date medicale sau personale sensibile.
Vezi certificate EV pe synssl.ro
Comparație rapidă — DV vs OV vs EV
| Caracteristică | DV | OV | EV |
|---|---|---|---|
| Verificare domeniu | ✓ | ✓ | ✓ |
| Verificare companie | ✗ | ✓ | ✓ |
| Verificare adresă fizică | ✗ | ✗ | ✓ |
| Verificare persoană contact | ✗ | ✗ | ✓ |
| Timp emitere | 5-10 min | 1-3 zile | 3-7 zile |
| Criptare | 256-bit | 256-bit | 256-bit |
| Nume companie în certificat | ✗ | ✓ | ✓ |
| Persoane fizice pot solicita | ✓ | ✗ | ✗ |
| Nivel de încredere vizitator | Basic | Mediu | Maxim |
| Garanție | $10.000+ | $50.000+ | $250.000+ |
Pe lângă nivelul de validare, certificatele SSL se diferențiază prin numărul și tipul de domenii pe care le acoperă. Alegerea corectă depinde de structura infrastructurii tale web — câte domenii ai, dacă folosești subdomenii și câte.
Single Domain SSL
Protejează exact un singur domeniu (FQDN — Fully Qualified Domain Name). De obicei, acoperă automat și varianta cu www. De exemplu, un certificat pentru magazin.ro va proteja și www.magazin.ro.
Este cel mai comun și cel mai accesibil tip de certificat. Disponibil în toate cele 3 niveluri de validare: DV, OV și EV.
Detaliu tehnic: Domeniul principal este specificat în câmpul Common Name (CN) al certificatului, iar varianta www este inclusă ca Subject Alternative Name (SAN). Unele CA-uri includ automat ambele variante; altele cer specificarea explicită în CSR (Certificate Signing Request).
Atenție: Un certificat Single Domain pentru magazin.ro NU va funcționa pe blog.magazin.ro, shop.magazin.ro sau orice alt subdomeniu. Pentru subdomenii ai nevoie de un certificat Wildcard.
Site-uri cu un singur domeniu fără subdomenii separate, bloguri, portofolii, magazine online mici/medii, aplicații web cu o singură adresă.
Vezi certificate Single Domain
Wildcard SSL
Un certificat Wildcard protejează domeniul principal și toate subdomeniile de un singur nivel. Se emite pentru *.domeniu.ro și acoperă automat orice subdomeniu: www.domeniu.ro, mail.domeniu.ro, shop.domeniu.ro, api.domeniu.ro — fără limită.
Disponibil în variantele DV și OV. Certificatele Wildcard EV nu există — standardele CA/Browser Forum nu permit emiterea de certificate EV cu wildcard.
Detaliu tehnic: Caracterul wildcard (*) în câmpul CN/SAN acoperă doar un singur nivel de subdomeniu. Un certificat *.magazin.ro NU acoperă test.shop.magazin.ro (nivel 2). Pentru a proteja și nivelul 2, ai nevoie de un certificat separat pentru *.shop.magazin.ro sau de un Multi-Domain Wildcard.
Proiecte cu subdomenii dinamice, platforme SaaS (client1.platforma.ro, client2.platforma.ro), aplicații cu API pe subdomeniu separat, site-uri cu blog/shop/mail pe subdomenii diferite, medii de development/staging.
Multi-Domain SSL (SAN / UCC)
Un certificat Multi-Domain (numit și SAN — Subject Alternative Names sau UCC — Unified Communications Certificate) protejează mai multe domenii complet diferite pe un singur certificat. De exemplu: magazin.ro + shop.com + blog.eu.
De obicei include 3 domenii (SAN-uri) în prețul de bază, cu posibilitatea de a adăuga domenii suplimentare (până la 100 sau chiar 250, în funcție de provider). Disponibil în variante DV, OV și EV.
Detaliu tehnic: Toate domeniile sunt listate în extensia Subject Alternative Name (SAN) a certificatului X.509. Browserul verifică dacă domeniul accesat se regăsește în lista SAN. UCC este termenul folosit de Microsoft pentru certificate multi-domeniu optimizate pentru Exchange Server / Office 365.
- Un singur certificat de gestionat în loc de mai multe separate
- Cost total mai mic decât certificate individuale pentru fiecare domeniu
- Domenii SAN pot fi adăugate/eliminate la reemitere
- Toate domeniile au aceeași dată de expirare — management simplificat
Companii cu mai multe branduri/domenii, servere Microsoft Exchange/Office 365, consolidarea mai multor certificate într-unul singur, proiecte cu domenii pe extensii diferite (.ro, .com, .eu).
Multi-Domain Wildcard SSL
Combinația maximă de flexibilitate: un singur certificat care protejează mai multe domenii diferite ȘI toate subdomeniile fiecăruia. De exemplu: *.firma1.ro + *.firma2.com + *.proiect.eu.
Este cel mai complex și flexibil tip de certificat SSL, dar și cel mai costisitor. Disponibil doar cu validare DV (în funcție de brand).
Detaliu tehnic: Extensia SAN a certificatului conține atât wildcard entries (*.domeniu1.ro) cât și domenii exacte. Fiecare entry wildcard acoperă un nivel de subdomeniu pentru acel domeniu specific. Atunci când un browser se conectează, verifică dacă hostname-ul se potrivește cu cel puțin una din intrările SAN.
Infrastructuri enterprise complexe, organizații cu portofolii mari de branduri și subdomenii, furnizori de servicii gestionate (MSP), companii cu aplicații distribuite pe mai multe domenii.
Vezi certificate Multi-Domain Wildcard
Certificatele Code Signing nu securizează site-uri web, ci semnează digital software: aplicații, drivere, scripturi, plug-in-uri și actualizări. Semnătura digitală garantează utilizatorilor finali că software-ul provine de la tine și nu a fost modificat după semnare.
Code Signing Certificate
De ce ai nevoie de Code Signing? Fără o semnătură digitală, sistemele de operare și browserele afișează avertizări de securitate când utilizatorii încearcă să descarce sau să instaleze software-ul tău. Windows SmartScreen, macOS Gatekeeper și browserele moderne blochează sau avertizează activ despre executabilele nesemnate.
Certificatul Code Signing rezolvă asta: atașează identitatea ta verificată la software, iar semnătura include și un timestamp care asigură validitatea chiar și după expirarea certificatului.
- Elimină avertizările „Publisher Unknown” din Windows/macOS
- Construiește reputația SmartScreen mai rapid (varianta EV)
- Protejează integritatea codului — orice modificare invalidează semnătura
- Funcționează pentru .exe, .dll, .sys, .cab, .msi, .ps1, .jar, macOS apps
- Timestamp-ul asigură validitatea semnăturii pe termen nelimitat
Detaliu tehnic: Începând din iunie 2023, toate certificatele Code Signing noi (nu doar EV) necesită stocarea cheii private pe un dispozitiv hardware (token USB sau HSM), conform cerințelor CA/Browser Forum. Semnarea se face local cu signtool.exe (Windows) sau codesign (macOS). Varianta EV Code Signing vine obligatoriu pe token USB hardware.
Dezvoltatori de software, companii care distribuie aplicații desktop, drivere hardware, plug-in-uri și extensii, scripturi PowerShell, aplicații Java (JAR), macros Office, actualizări firmware.
Aceste certificate nu protejează site-uri web, ci identitatea digitală personală sau organizațională. Sunt folosite pentru criptarea și semnarea email-urilor, autentificarea identității și semnarea electronică a documentelor.
Email Signing Certificate (S/MIME)
Un certificat S/MIME (Secure/Multipurpose Internet Mail Extensions) permite semnarea digitală și criptarea end-to-end a email-urilor. Destinatarul poate verifica că mesajul vine într-adevăr de la tine și nu a fost modificat în tranzit. Criptarea asigură că doar destinatarul poate citi conținutul.
- Semnătură digitală vizibilă în Outlook, Thunderbird, Apple Mail, Gmail (cu extensii)
- Criptare end-to-end — mesajul e cifrat pe întregul traseu
- Protecție împotriva phishing-ului — destinatarii pot verifica expeditorul
- Conform cu cerințele GDPR și eIDAS pentru comunicări securizate
Detaliu tehnic: Certificatul S/MIME se instalează în clientul de email și folosește criptografie asimetrică (RSA/ECC). Semnarea folosește cheia privată a expeditorului; criptarea folosește cheia publică a destinatarului. Ambii participanți trebuie să aibă certificate S/MIME pentru criptare bidirecțională.
Comunicări business confidențiale, departamente juridice, financiare sau medicale, organizații cu cerințe de conformitate (GDPR, HIPAA), oricine vrea să prevină spoofing-ul adresei de email.
Personal Authentication Certificate
Un certificat personal (Client Certificate) servește ca identitate digitală verificată. Poate fi folosit pentru autentificarea pe sisteme (în locul sau pe lângă parolă), semnarea email-urilor și accesul la rețele sau aplicații securizate.
- Autentificare two-factor bazată pe certificat (mai sigură decât SMS)
- Acces securizat la VPN-uri, intranet-uri și aplicații interne
- Include funcționalitate S/MIME pentru email
- Poate fi stocat pe smart card sau token USB pentru securitate fizică
Angajați care accesează sisteme interne, accesul la rețele VPN corporate, autentificarea pe platforme cu date sensibile, înlocuirea parolelor cu autentificare bazată pe certificat.
Document Signing Certificate
Un certificat Document Signing permite semnarea electronică a documentelor PDF, Word și altor formate. Semnătura digitală atestă identitatea semnatarului și garantează că documentul nu a fost modificat după semnare. Are valoare legală în UE conform Regulamentului eIDAS.
- Semnătură digitală vizibilă în Adobe Reader/Acrobat, Microsoft Office
- Validare juridică conform eIDAS (UE) și ESIGN Act (SUA)
- Timestamp inclus — dovedește momentul exact al semnării
- Detectare automată a oricăror modificări post-semnare
- Funcționează cu PDF, DOCX, XLSX, PPTX
Detaliu tehnic: Semnătura digitală a documentului este de tip PKCS#7/CMS (Cryptographic Message Syntax) încorporată în structura documentului. Adobe AATL (Adobe Approved Trust List) include certificatele de la autorități de certificare recunoscute — documentele semnate cu aceste certificate sunt considerate de încredere automat în Adobe Reader fără configurare suplimentară.
Contracte și acorduri digitale, facturi electronice, documente juridice, rapoarte financiare, formulare oficiale, orice document care necesită semnătură verificabilă și nerepudiabilă.
Vezi certificate Email & ID pe synssl.ro
