1. 品牌与市场地位

• GeoTrust
• 成立较早，曾是全球前三大 CA，后被 Symantec 收购，再由 DigiCert 接手。
• 国际知名度高，特别是在欧美地区，企业和电商广泛使用。

• Certum
• 波兰最大的 CA，也是欧盟 eIDAS 认证的信任服务提供商。
• 在欧洲市场（尤其东欧）影响力较大，但国际品牌知名度不及 GeoTrust。

2. 证书类型与产品线

• GeoTrust
• 提供 DV（域名验证）、OV（组织验证）、EV（扩展验证）全系列证书。
• 覆盖单域名、多域名、通配符，产品线丰富。
• 更适合需要国际化、品牌背书的企业。

• Certum
• 提供 SSL/TLS、电子签名、代码签名等证书。
• 在电子签名、身份认证领域符合欧盟法规 eIDAS，有额外优势。
• 价格通常比 GeoTrust 更低，性价比更高。

3. 浏览器兼容性

• GeoTrust：依托 DigiCert，兼容性接近 100%，在全球范围内最稳妥。

• Certum：主流浏览器和系统都支持，但在部分老旧设备或小众系统上兼容性略逊。

4. 国内使用的选择

• 普通个人/中小企业，预算有限 → Certum 足够，价格便宜，兼容性也能满足国内主流环境。

• 企业官网、对外展示、政企合作 → GeoTrust 更保险，国际大牌，审核更严谨。

• 国内化场景 → 其实 TrustAsia（安全联盟/阿里云等使用的 CA）更常见，价格便宜，售后支持也好。

5. 安全性对比

• 都使用国际标准算法（RSA ≥ 2048 位或 ECC P-256/P-384）。

• 安全强度由算法和密钥长度决定，而不是 CA 品牌。

• OV/EV 证书会对企业信息做额外审核，能有效减少钓鱼网站冒充。

• 两者的根证书管理都合规，没有重大安全事件。

6. SSL/TLS 安全配置检查清单

协议与加密套件

• ✅ 启用 TLS 1.2 / TLS 1.3

• ❌ 禁用 SSL 2.0 / 3.0 / TLS 1.0 / 1.1

• ✅ 禁用弱算法（RC4、3DES、MD5）

证书与密钥

• ✅ 使用 RSA ≥ 2048 位或 ECC P-256

• ✅ 保证私钥安全，不要外泄

• ✅ 证书最长 13 个月，有效期到期前及时更换

证书链与验证

• ✅ 正确安装完整链（服务器证书 + 中间证书）

• ✅ 配置 OCSP Stapling 提高验证效率

安全策略

• ✅ 开启 HTTPS 强制跳转

• ✅ 使用 HSTS（Strict-Transport-Security）

• ✅ 避免混合内容（HTTPS 页面中加载 HTTP 资源）

• ✅ 设置 CSP、Secure Cookie

监控与维护

• ✅ 设置到期提醒

• ✅ 定期用 SSL Labs 等工具扫描，目标 A+

• ✅ 考虑自动化证书更新

✅ 总结

• 安全性：Certum = GeoTrust，差别不大。

• 品牌与信任度：GeoTrust 胜出，特别是在国际化场景。

• 价格与性价比：Certum 更便宜，适合国内中小企业或个人项目。

• 国内常用替代：TrustAsia 也是很好的选择，支持好，价格低。

🔍 常见 SSL 证书品牌对比（GeoTrust vs Certum vs TrustAsia）

• 预算充足 + 国际业务 → 选 GeoTrust

• 成本敏感 + 国内/欧洲业务 → 选 Certum

• 主要国内访问 + 想省事 → 选 TrustAsia