SSL 证书的疑问……

Subject Alt Name

随着 http2 的普及，不仅仅 cdn ，这种证书会越来越普遍的哦。

多域名证书呗。。。也称为 SAN 证书或 UCC 证书

@squid157
@xufang
原来如此，感谢！

一个 ssl 证书可以有很多个域名在里面，所以你明白了吗？

你这个明显是用了 CF 的 CDN ，他家自己就是可信任的证书办法机构，所以可以随便颁发 SSL 证书（说随便不太合适，但是自己是机构，就是任性）

至于为什么要这样搞，因为一个 IP 地址的一个端口只能使用一个 SSL 证书（除了 XP 可能不支持 SNI ，其实也有一些软件不支持）， CDN 服务商也没有那么多 IP 来浪费，所以成为可信任证书办法机构是最简单快捷方便的方法

@yeyeye 当然可以多个，不然 sni 是干什么用的
用 san 就是为了 XP 之类的用户而已

@yeyeye xp 下的 Firefox 是支持 SNI 的

@yeyeye CF 应该不是证书颁发机构，只是和 comodo 有合作

@ryd994
@LEFT

我知道你们又要推销 SNI 了，我怎么会不知道呢？问题是只要有低端用户存在（有时候企业软件逼着你无法升级啊，比如有的设备，是 16 位的，开发给 DOS 用的，顶天了你装个 Win98 吧，再高的系统就没法用了），所以只要 XP 以下用户还存在，就必须兼容他们。（我知道大家都想抛弃他们，他们也想抛弃，我也想抛弃，但是受限 1 ，可能某软件限制死了不准升级，还有就是受限 2 ：电脑配置低，你总不能逼着别人去升级配置吧，受限 3 ：你做的东西他们就是要访问，别问为什么）

也许你能放弃他们，我能放弃他们，但是要彻底放弃确实是比较头疼的。所以我更多的时候想的是，要是有一个补丁或者一个第三方工具能让这些低端的系统，低端的浏览器也能使用 SNI 那该多好啊。到时候补丁一打上就能用了，再也不用纠缠对方升级，对方又无法升级。（除了浏览器，其实还有其它领域也是使用 SSL 认证的，那些地方也有不支持 SNI 的情况）

另外 @LEFT 我错了看了下证书，确实应该是一种合作，不过 CF 也确实是可以任性发证书了……也是相当于可信任机构的作用了。

@PublicID 我错了看了下证书，确实应该是一种合作，不过 CF 也确实是可以任性发证书了……也是相当于可信任机构的作用了。
@LEFT 刚才回复的那段是给他的 不好意思点错名字了

@yeyeye 你语文是体育老师教的吧？
“因为一个 IP 地址的一个端口只能使用一个 SSL 证书（除了 XP 可能不支持 SNI ，“

这就是 CloudFlare 的证书，如果你域名有证书可以调成自己的证书，如果没有，那就是他们的类似服务器证书那种，现在好像全 Internet 就他们一家这样的

CF 的确是会帮你签免费证书但是 CF 并不是 CA ，证书是跟别的 CA 合作签的。

任性是不可能的， CA 肯定是有 Domain Verification 的要不然就违反 CPS 了。

@ryd994 对 我们老师又教语文又教体育，这种情形在中国并不奇怪啊

每个 IP 的每个端口嘛，用词可能不太精准。

一个端口要用多个 SSL 证书，规范的话需要 SNI 来支持，不规范的话自己实现可以任性。说 XP 可能不支持也是因为有人在 V2EX 发图证明 SNI 在 XP SP3 中有支持。