SSL证书是三级证书好还是二级证书好?有什么不同?

这是一个“公说公有理，婆说婆有理”的问题，是各个数字证书颁发机构(CA)都还在争论的问题，WoSign本着公正的原则，整理两方的理由，供用户参考。

首先，这里所说的“三级证书”只指用户的SSL证书是在“受信任的根证书颁发机构”下的“中级证书颁发机构”下颁发的证书，而“二级证书”只指用户的SSL证书是直接在“受信任的根证书颁发机构”下颁发的证书。请注意，这里的级别是指证书路径的级数(Level)，要与证书的身份验证等级(Class)区分开来，Class 3证书的身份认证过程要比Class 2证书的身份认证过程严格。

如下图1、图2和图3所示，图1为VeriSign SSL证书，VeriSign颁发的SSL证书都是三级证书;图2为WoSign SSL证书，WoSign颁发的证书都是三级证书;图3为Thawte 的超真SSL-W是二级证书，而Thawte的SGC证书是三级证书：

　　(图1)

而认为三级证书好的也主要有两个理由：一是三级证书的安全性更好，因为CA可以把顶级根证书脱机放在一个安全的地方，而联机颁发证书的是中级根证书，一旦中级根证书遭到破坏，还可以从顶级根证书颁发一个中级根证书来重新给用户颁发证书。但如果让顶级根证书联机颁发证书，则一旦顶级根证书遭到破坏，则是灾难性的损失，使得CA再也无法颁发证书了，因为根证书是无法重新设置的，重新设置的根证书已经不是原来的根证书了;第二个理由是在中级根证书下颁发证书会大大减少证书吊销列表的容量，从而加快每次验证SSL证书有效性的速度。另外，实际上在中级根证书下安装证书同二级证书安装一样容易，因为一般由中级根证书颁发的证书都支持PKCS#7格式(证书中已经含有中级根证书)。

根据微软网站 上的有关证书服务文档，微软认为：为了根证书的安全，应该使用脱机的根证书来创建证书层次结构，不同用途的证书使用不用的中级根证书来颁发。同时，证书颁发机构的层次结构也提供了管理上的好处，包括：

*CA 安全环境的灵活配置在安全性和可用性之间达成了一种平衡，如密钥强度、物理保护和网络保护免受攻击。例如，可以选择在根 CA 上使用具有特别用途的加密硬件，在物理安全区对它进行操作，或脱机进行操作。

*关闭 CA 层次结构的特定部分而不影响所建立的信任关系的能力。例如，可以很容易地关闭和吊销与特定地理站点相关的颁发 CA 证书，而不会影响单位的其他部分。

WoSign认为：从CA整个系统的安全来讲，当然是颁发三级证书安全。而由于中级根证书可以打包到用户证书中就不存在需要安装中级根证书的问题，所以，用户担心的安装问题也就不是问题了。用户可以放心的选择三级证书，对最终用户来讲没有什么不同和性能影响，所谓的影响都是一些商业营销需要的宣传。但WoSign综合两方的观点认为：超过三级的证书则应该是对性能和安装是有一定的影响，不推荐用户购买。