SSL 证书 是不是互联网新时代的人头税啊。。。。

2023-12-20 19:14:49 +08:00
 TESTFLIGHT2021
求推荐个便宜的证书啊~~
现在网站都要这玩意了。。。
5207 次点击
所在节点    程序员
53 条回复
julyclyde
2023-12-21 11:28:11 +08:00
@kingjpa 做内容的企业里哪一家免费给用户提供了?
Carlgao
2023-12-21 13:30:20 +08:00
国内的服务器用 acme 申请证书有个“墙”的问题吧,这个问题可以避免吗?
Xinu
2023-12-21 14:05:53 +08:00
@Carlgao 没有吧 今天还用了 很丝滑,申请的泛域名证书
shellus
2023-12-21 17:12:47 +08:00
黑产:各位说得对,SSL 真是毒瘤
希望我们和各位一起齐心协力推动互联网安全倒退,回到那个幸福的年代。
和菜鸡程序员比拼 JS 混淆加密
轻松一点直接返回假页面绕过 js 加密钓鱼用户账号密码
真是怀念啊,想不到各位和我们想到一块去了,SSL 真是毒瘤,各位加油,抹黑它,抵制它!
kingjpa
2023-12-21 22:12:26 +08:00
@flyqie

链接就不发了,自行搜关键词: 腾讯等六家互联网公司联合声明:抵制流量劫持

在 2014 年左右, 那时候 app 还没有现在这么火 ,大部分都是在 pc 网页/微信里看视频, 3 大运营商才是广告平台大佬,没有 https ,运营商可以直接劫持网页 在原有网站插入广告。 这严重影响了 几大互联网平台的利益,所以越来越多的公司开始加入抵制, 然后开始了免费的 ssl ,

还有人说 1 年 1 续麻烦,其实以前 ssl 证书不是 1 年 1 续费, 几年的都有, 只是国内 360 控制的证书签发机构,做了违背祖宗的决定,伪造了国外某知名网站证书, 然后导致了 以后证书变成了 1 年 1 续费。

太多人 没经历过那个万花齐放时代,那会火的都是内容性网页,贴吧 猫扑 天涯 等等。 几乎么有审查
kingjpa
2023-12-21 22:19:34 +08:00
@skiy 你这是本末倒置,为什么以前 https 不提示告警,谷歌以前不知道 http 危险吗?

正是因为大部分网页都使用了 https , 他才有底气给没有 https 的网页做危险阻拦
flyqie
2023-12-21 22:26:28 +08:00
@kingjpa #45

https://en.wikipedia.org/wiki/Let's_Encrypt

根据给出的关键词,我能搜到的资料基本都是 2015 年国内,但 Let's_Encrypt 是早于这个时间出来的啊。。

而且,根据相关资料,改成一年是浏览器厂商搞的啊。。

https://www.zdnet.com/article/apple-strong-arms-entire-ca-industry-into-one-year-certificate-lifespans/
flyqie
2023-12-21 22:39:14 +08:00
@kingjpa #46

https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

https://blog.chromium.org/2017/04/next-steps-toward-more-connection.html

https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html

https://blog.google/technology/safety-security/say-yes-https-chrome-secures-web-one-site-time/

这是我能找到的 Google 博客相关文章
kingjpa
2023-12-21 22:44:40 +08:00
@flyqie 证书改成 1 年有效期,是因为沃通伪造了 github 的证书,然后就被吊销了签发资格,从那以后所有签发证书都是 1 年。

你说的这个 Let's_Encrypt 以前又没有脚本签发,也没有脚本续期, 那个年代要用工具生成本地密钥 等等还是比较复杂的, 而且国内浏览器 以前是不认 Let's_Encrypt 的,以前国内大部分都是国产浏览器,每个大厂都有自己的浏览器。

我记忆中 七牛云应该是第一家免费发 ssl 的企业 ,然后才是阿里云 百度云 腾讯云等大厂跟进,有这些大厂,才让大部分中小企业用上了免费的 ssl , 包括现在大部分企业用的肯定是这几家的免费 ssl (其实是同一家证书公司发的)

国内这些大厂统一切换 https 应该就是 2014 年左右, 我记得百度还专门搞了个新闻 说全面进入 https 搜索时代 ,那会李彦宏风光的很,还做过全国首富,哎可惜贴吧没落了 没把握好
kingjpa
2023-12-21 23:04:40 +08:00
@flyqie
故意伪造证书
https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html
flyqie
2023-12-21 23:20:17 +08:00
@kingjpa #50

想起来了。。

当年沃通炸了以后身边不少站长都在换证书。。

后来沃通就淡出视线了。。

ssl 这块我之前关注的极少,因为太麻烦了,后来是大家都上了,浏览器也做了限制,才逐渐开始用上了。
eastphoton
2023-12-24 13:28:13 +08:00
@kingjpa 那你这就不是本末倒置了吗。。拿国内进入 ssl 时代去论证整个互联网。那 chrome 只看国内就敢对非 https 告警了吗,那当然是看其他方面推动得全球都已经大多数网站 https 了。

当初就是一些国际公司和一些国际组织在推动 ssl 全球普及,他们可不仅仅是让自己的网站用上 ssl 而是在推动其他人的网站也用上,比如像 letsencrypt 签发免费证书开了个头,才有了后来这些越来越多越来越方便的免费证书。letsencrypt 以前即使有免费也是各种限制各种麻烦。

国内这些大厂切换到 ssl 是符合他们利益也符合技术趋势所以顺便上车了,国内大厂只是使用者,并不是推动者。
huangzhiyia
316 天前
aws 证书免费自动续签(只要绑定到有效服务上),不需要任何操作.

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1002068

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX