V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
isCyan
V2EX  ›  SSL

后 Symantec 时代最完美的单域名一年期免费 SSL 证书

  •  1
     
  •   isCyan · 2017-12-08 16:35:10 +08:00 · 8243 次点击
    这是一个创建于 2302 天前的主题,其中的信息可能已经有所发展或是发生改变。

    太长不看版本:阿里云免费证书恢复正常签发,DigiCert 根证书,支持 Windows XP 等老旧客户端。

    今天 12 月 8 号,DigiCert 新的证书签发系统貌似已经升级完成。阿里云和腾讯云的免费证书签发页面上的提醒都没有了。

    12 月 1 号之前,除了阿里云之外,其他的 FreeSSL.org 、腾讯云、七牛云、又拍云等等免费证书的中级 CA 都是 TrustAsia (亚洲诚信,一家中国的 SSL 证书销售代理商。只有阿里云的免费证书是 Symantec 官方的 DV 中级 CA 签发的。

    12 月 5 号,我就测试了 FreeSSL.org (偷跑版,按计划该是 7 号才能签),发现已经可以正常签发 DigiCert 根、TrustAsia 中级的免费证书了。原帖在: https://www.v2ex.com/t/412262。

    其中就有人说这款新的免费证书不支持 Windows XP 等老旧客户端,虽然那个错误可能是因为我的测试站需要支持 SNI 才能正常访问,但是我在 MySSL 测试时也的确看到证书不兼容旧版的系统和浏览器。

    那么阿里云呢?按理说之前就是 Symantec 官方中级 CA,现在应该变成 DigiCert 官方中级 CA 吧。而且阿里云的提示中也提到了会提升证书兼容性。我今天就去试着签了一张。果然,MySSL 测试时全部客户端都能正常兼容。

    用的是 2006 年的 DigiCert 根证书,和今年 11 月末签发的名为 Encryption Everywhere 的 DigiCert 官方中级证书,非 TrustAsia。

    而且,之前签发阿里云免费证书选择 DNS 验证时,需要在你的域名(比如 test.example.com )下添加一个 TXT 记录,如果那个域名原本有 CNAME 记录,再加 TXT 记录就会产生冲突。而腾讯云等 TrustAsia 系则是在 _dnsauth.test.example.com 下添加 TXT 记录,就没有上述问题。

    现在更新后的阿里云免费证书 DNS 验证也是在 _dnsauth 子域名下(和 TrustAsia 系的验证方式一样)避免了上述麻烦。

    综上,阿里云免费证书大概是目前最完美的单域名一年期免费 SSL 证书。

    缺点:不同于 TrustAsia 系免费证书及旧版 Symantec DV 免费证书,没有嵌入 SCT 信息,Certificate Transparency 需要自己用 ct-submit 提交后通过 TLS extension 方式启用。详见 https://imququ.com/post/certificate-transparency.html

    新阿里云免费证书测试站(需要客户端支持 SNI ): https://www.penbeat.cn/ ,支持 OCSP Stapling,未启用 HSTS,所以 SSL Labs 跑分应该是 A 没有 A+。

    新 TrustAsia 系免费证书测试站(需要客户端支持 SNI ): https://www.minto.cc/ ,支持 OCSP Stapling,启用了 HSTS,所以 SSL Labs 跑分应该是 A+。

    新阿里云免费证书长相:

    7c7ecb52f135a0f0c7b23074f2de0fe9.png

    第 1 条附言  ·  2017-12-08 17:57:28 +08:00

    现在阿里云官网还是不能购买免费证书,工单说:

    “您好,现在免费版的证书在阿里云进行调整,需要等到 12 月 17 号才能购买。”

    我是手上有十几个之前生成的未使用的免费证书订单,所以可以签……

    又偷跑了一回…… 就算是提前测评一下吧。

    wxcszh
        1
    wxcszh  
       2017-12-08 17:34:50 +08:00
    阿里云的免费证书在哪里申请啊?

    https://common-buy.aliyun.com/?spm=5176.2020520163.cas.1.3f5eef26slMlQW&commodityCode=cas#/buy
    这里已经没有免费证书了
    isCyan
        2
    isCyan  
    OP
       2017-12-08 17:40:59 +08:00
    @wxcszh 此帖可以暂时作废了,我手里有一堆免费证书订单……
    真的没有入口了。我去开个工单问问。
    isCyan
        3
    isCyan  
    OP
       2017-12-08 17:54:03 +08:00
    @wxcszh “您好,现在免费版的证书在阿里云进行调整,需要等到 12 月 17 号才能购买。” 又偷跑了一回…… 算是提前测评一下吧。
    holulu
        4
    holulu  
       2017-12-08 18:31:37 +08:00
    如果支持通配就更完美了,再加上全链 ECDSA 就更更完美了。
    isCyan
        5
    isCyan  
    OP
       2017-12-08 20:02:24 +08:00 via Android
    @holulu 那就准备迎接 2018 年的 Let's Encrypt 吧,其实 LE 是最方便的
    xiaoz
        6
    xiaoz  
       2017-12-08 23:02:12 +08:00 via Android
    global 那个野卡证书兼容性咋样
    isCyan
        7
    isCyan  
    OP
       2017-12-08 23:30:55 +08:00
    @xiaoz 是在 Namecheap 黑五买的 20 刀的 Comodo 野卡,兼容性很好。可是,我的证书是 ECC 的公钥,老旧客户端本身就不支持这个算法……

    ECC/RSA 双证书的话,不知道 OCSP Stapling 和我用 Nginx 扩展开启的 Certificate Transparency 会不会出问题,还没试,就没搞。

    其实我并不是很关心兼容性之类的,又不是企业网站,那些用 XP 的不考虑他们
    xiaoz
        8
    xiaoz  
       2017-12-08 23:54:21 +08:00
    @isCyan 谢谢回复,对证书的好坏真不懂,可以这样理解么:只要根证书没问题的,个人用哪个 DV 是不是都差不多呀?
    isCyan
        9
    isCyan  
    OP
       2017-12-09 00:28:54 +08:00
    @xiaoz

    免费证书嘛,反正免费,能用一天是一天。不能用了再签别的。

    我们这种没钱的个人用的话呢:

    能用 LE 的话 LE 就很不错,明年 LE 出野卡;
    需要用 CDN 的话,要手工上传证书很麻烦,有效期要长一些,就要考虑商业证书了:
    野卡就选 Comodo/AlphaSSL
    只要单域名的话就等 17 号的阿里云免费证书 /Comodo/AlphaSSL/RapidSSL/如果以后 TrustAsia 免费证书优化了兼容性也可以用

    大的 CA 拿出来卖的商业证书都肯定兼容 XP 的。上面新的 TrustAsia 免费证书那种情况比较少的。

    大的 CA 就那么几个:
    Comodo 以 PositiveSSL 廉价证书出名,代理商超级多,胡乱签发记录很多,有出信任危机的可能,能用一天是一天
    Symantec 高大上,企业证书贵得上天,面向个人 DV 证书的品牌是 RapidSSL 当年也是不错选择,后来有了 TrustAsia 的免费证书,再后来就 GG 了
    DigiCert 高大上,一直不卖个人用户。后来收购了 Symantec 的证书业务,前景不错
    GlobalSign 信誉不错的公司,在国内以 AlphaSSL 免费野卡出名,OCSP 服务器竟然有中国大陆节点,域名有备案的国外 CA
    GoDaddy 穷,买不起
    Let's Encrypt 白金赞助商里有 Mozilla 和 Google Chrome,还怕啥?最稳最方便的免费证书,毕竟不是商业 CA 只要不胡乱签发,即使服务几个钓鱼网站出信任危机的机会也不大。如果 CDN 或者服务器上搞好了自动续期就一劳永逸。缺点是有效期只有 3 个月,如果 CDN 不支持自动续期需要手工部署的话有点麻烦。
    holulu
        10
    holulu  
       2017-12-09 09:11:52 +08:00 via iPad
    DigiCert 有 DV 证书,个人可以买的,见过几个博客用过
    不过还是 LE 好,明年还内嵌 SCT
    国内好像就又拍 CDN 和 Coding Pages 用 LE
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   3702 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 00:15 · PVG 08:15 · LAX 17:15 · JFK 20:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.