V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wkl17
V2EX  ›  SSL

startssl、let'sencrypt 等证书相关的 4 个问题求解

  •  
  •   wkl17 · 2017-01-22 03:00:48 +08:00 via Android · 2621 次点击
    这是一个创建于 2893 天前的主题,其中的信息可能已经有所发展或是发生改变。
    1 、为什么 startssl 和 let'sencrypt 的 dv 证书都得 3 个月重新验证一次?
    2 、其它 class 收费的证书是否也得每隔 3 个月重新验证一次?
    3 、苹果 Safari 不信任 startssl dv 证书,那它的 class2 以上的还信任吗?
    4 、个人站长,但多个域名,有何收费但比较值得注册的证书推荐?
    谢谢。
    11 条回复    2017-01-25 17:03:21 +08:00
    ericFork
        1
    ericFork  
       2017-01-22 03:07:51 +08:00
    1. startssl 有三个月验证一次?他们家都是一年起吧。
    letsencrypt 每次颁发的有效期只有三个月,所以每 3 个月要 renew 一次

    2. 一般都是一年起

    3. 否

    4. PositiveSSL 或者来路不一定正不正的 AlphaSSL
    ZE3kr
        2
    ZE3kr  
       2017-01-22 06:46:56 +08:00 via iPhone
    1. 三个月一次相对会更安全一些,因为相当于每三个月要认证一次域名所有权。此外还能鼓励自动化证书部署,官方解释: https://letsencrypt.org/2015/11/09/why-90-days.html

    4. 感觉收费的没有什么值得注册的,统配也没必要, Lets Encrypt 能一张证书 100 个域名。 EV 证书还有点意思,不过个人也搞不了。
    ZE3kr
        3
    ZE3kr  
       2017-01-22 06:48:16 +08:00 via iPhone
    此外不推荐 StartSSL ,包括沃通的免费证书。沃通已经玩完了。 StartSSL 的免费证书 Revoke 要交钱,你说坑不坑。
    sumu
        4
    sumu  
       2017-01-22 07:48:26 +08:00 via iPhone
    startssl ,之前是一年,最近改成 2 年还是 3 年了,但依然很麻烦,心里得记着这个事,正在弃用的路上, certbot 已在测试中
    william23
        5
    william23  
       2017-01-22 09:37:45 +08:00
    觉得一楼的回答很中肯,前 3 个的确如此。
    再说下我自己的经历,
    之前申请的是 startSSL,后来客服说不支持 ios10.2 的系统,他的所有证书都是,是说需要修复要过一个月才好,当时是 12 月底。
    另外,现在用的是云服务上自带的证书,免费的
    希望能帮到楼主
    wkl17
        6
    wkl17  
    OP
       2017-01-22 15:55:40 +08:00 via Android
    @ericFork
    startssl 证书是 3 年没错,但我记得好像验证域名时,有提示 3 个月,似乎是 3 个月之后要再一次验证域名还是你的?

    但 iphone safari 访问 startssl 官网 https 可以正常打开,但它颁发的 dv 证书,用 iphone safari 却无法访问,很奇怪了。
    ericFork
        7
    ericFork  
       2017-01-22 16:47:50 +08:00
    @wkl17 那个验证啊,只有你下次购买证书时才需要再验证的,和证书本身的有效期无关

    第二个是因为 2016-10-21 之后 StartSSL 颁发的证书会被认为是不信任,但之前颁发的暂不受影响: https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/
    wkl17
        8
    wkl17  
    OP
       2017-01-22 17:26:53 +08:00 via Android
    @ZE3kr 看了。可惜,他们大概没有考虑在 windows 下的 nginx 吧,那些自动化大概只是针对 Linux 。而且即使自动更新也会导致网站中断一下吧,更换证书必须停止 web 服务。
    msg7086
        9
    msg7086  
       2017-01-24 07:23:03 +08:00
    @wkl17 什么时候开始更换证书需要停止 Web 服务了?
    wkl17
        10
    wkl17  
    OP
       2017-01-25 03:33:34 +08:00
    @msg7086 有一个 nginx-upupw ,我感觉没有停止 web 服务,似乎证书无法覆盖啊,感觉它启动 web 服务后 会锁住证书文件。难道是我梦幻了?
    msg7086
        11
    msg7086  
       2017-01-25 17:03:21 +08:00 via Android
    除非你用的是 Windows 。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3605 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 04:26 · PVG 12:26 · LAX 20:26 · JFK 23:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.