用了一次 StartSSL 免费证书,觉得流程很简单(比 Let's Encrypt 简单)。不知道有什么长期使用上的坑?比如一年到期 renew 时有没有意外?

2016-03-27 09:53:27 +08:00
 Radeon
5478 次点击
所在节点    SSL
35 条回复
VmuTargh
2016-03-27 10:02:49 +08:00
PKI 服务器在大数字机房, 自己斟酌
Radeon
2016-03-27 10:07:07 +08:00
@VmuTargh 这有什么关系。签发证书你的私钥是不上传给 CA 的,实在不行换家 CA 签个新的
shiji
2016-03-27 10:11:55 +08:00
@VmuTargh 就算整个 CA 被端了,也是不能解密数据的。
New2016
2016-03-27 10:14:59 +08:00
已吊销根证书
aofall
2016-03-27 10:15:03 +08:00
@VmuTargh 在大数字机房又怎样 敢干坏事 就会像 CNNIC 一样被取消根证书信任
还有, Let's encrypt 由国内的云片网络提供网络,你咋不提这个?
https 是非对称加密,只要你私匙不泄漏,没什么问题。真要大动干戈的中间人攻击你,还不如直接爆破你的 vps
oott123
2016-03-27 10:15:46 +08:00
LE 是可以用脚本自动续期的啊,怎么也比 StartSSL 强一点吧。证书有效期短是好事,安全。
a1058021348
2016-03-27 10:23:53 +08:00
@aofall 话说。。是私钥吧。。。

以前我也误读私匙。。直到我写这个词的时候才发现。。。
Andy1999
2016-03-27 10:24:17 +08:00
@shiji
@aofall 但我可以再签一个呀 然后实现 MITM
VmuTargh
2016-03-27 10:27:05 +08:00
@shiji
@aofall
我自己站点也用 StartSSL, 之所以说这句是因为 v 站一大堆"被害妄想症", 不要到时发现"哦, 这丫居然是 360 的***"然后各种骂
xuan880
2016-03-27 10:28:23 +08:00
@aofall 逢中必黑,逢共比反,这就叫做政治正确。至于有没有理,对不对,谁在乎。
VmuTargh
2016-03-27 10:28:33 +08:00
@Radeon 我的建议是不要用 StartSSL 自己家的 CSR 生成工具, 这玩意还是自己本地 openssl 生成比较放心
Radeon
2016-03-27 10:31:14 +08:00
@VmuTargh 是的,我就是本地的 Linux 机器上的 openssl 工具生成的 CSR 。一年到期 renew 时是怎么样?有没有问题?
VmuTargh
2016-03-27 10:38:02 +08:00
@Radeon renew 应该没啥问题, StartSSL 在快到期的时候会发 email 提示你 renew 证书, 还有 Auth 证书记得备份, startssl 是通过证书登录的, 丢了比较麻烦
aofall
2016-03-27 10:43:41 +08:00
@Andy1999 然后被吊销根证书?不如查水表来得方便,而且还要啥有啥
还有 你被降权了 收不到你的回复提醒
@a1058021348 感谢提醒……
@xuan880 也是够了 不予评价
@VmuTargh 我还用 Wosign+LE 呢 StartSSL 的认证不知道为什么一直过不去
VmuTargh
2016-03-27 10:47:48 +08:00
@aofall 认证过不去...... 卡在邮箱验证了吧, 某些邮箱收不了 startssl 邮件也是醉了
Radeon
2016-03-27 10:57:00 +08:00
@aofallqq.com 的邮箱可以轻松收信
DesignerSkyline
2016-03-27 10:58:38 +08:00
@aofall 云片只是赞助而已
SoloCompany
2016-03-27 11:16:35 +08:00
不要用 QQ
不要用微信
手动吊销 cnnic 根证书
手动吊销 startssl 根证书



还有吗?
Slienc7
2016-03-27 11:24:33 +08:00
@aofall 收不到提醒也可能只是臨時抽風或者你自己被降權。


StartSSL 除了會“隨機”觸發延遲簽發(告知你需要等幾小時到幾個工作日不等以備他們人工審核然後再給你簽),以及週末例行維護不簽證書之外,應該沒什麼坑了。
wdlth
2016-03-27 11:38:25 +08:00
StartSSL 的 CRL 、 OCSP 等服务在国内是解析到 WoSign 的服务器,还不是为了国内的初级阶段网络环境访问方便。难道像以前 EdgeCast 被污染, DigiCert 、 Mozilla 、 WordPress 等网站遭殃,就好过了?
GlobalSign 还用百度云减速呢,难道也去吊销根证书?
这里还用的 TrustAsia ,是不是也要吊销中级证书?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/266590

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX