StartSSL 推出 StartEncrypt 自动化工具,叫板 letsencrypt

@alect Opera 已经被拿下，再拿下个 StartSSL 一点也不奇怪，更何况 WoSign 现在还离不开 Startcom 的资源，反正花的是资本市场的钱，不花白不花

看来是时候拉黑 StartSSL 的 CA 了…………

letsencrypt 最早内测就开始用了，难用的要死，阿里云还没法用

@wql 666 ，爽死了。

@nvidiaAMD980X 没必要拉黑吧，它要是真敢做恶，会自动被 Google 和各大操作系统直接拉黑，和 CNNIC 一样。

@jason19659 现在很多浏览器都会自动发送证书信息，这样只要发现有一个证书是 StartSSL 签发的但不是域名 /服务器所有者签发的，就可以证明它做恶。

@ZE3kr 没错。
而且证书复制出来， 100%的证据确凿。
所以，普通人根本不用担心 CA 去中间人你。

@lhbc 是的 按我来看是这样。
网站值不值得被中间人？
不值说毛，大网站被中间人攻击关你 p 事。
我表示， CA 不会玩火的。
顺便有个叫 HPKP

顺便一提 StartSSL 已经完蛋了， EV 证书全废了。

Chrome 的结果（注： 360 和 Chrome 的结果一样。）
http://233.dog/f_67884216.png
IE 的结果
http://233.dog/f_53810729.png

@lhbc @ZE3kr 在 V2 有的事情是说不通的 以前我还立了一个贴（说明了一下 CA 不可能随便作恶的，一旦作恶，就是作死） 结果被骂死了 后来出了 CNNIC 的中间 CA 伪造证书（有的报道直接改为 CNNIC 伪造），各大浏览器很快响应

然而呢 他们还是一样 没有任何改观

所以只能说 尊重各自的想法吧

@lslqtz Mac 版本的 Chrome (51.0.2704.84) 的 EV 显示没问题。

https://s3.tlo.link/sites/2/20160618093551/Screenshot-2016-06-18-09.32.56.png

HPKP 似乎不能 Preload （毕竟中间证书迟早会过期），假如首次访问就被中间人搞了，好像也没啥用，所以也需要 DANE ，同时也必须要启用 DNSSEC 。（我比较无聊在 tlo.xyz 这个域名上同时配置了 DANE 和 HPKP ）

https://s3.tlo.link/sites/2/20160618094511/Screenshot-2016-06-18-09.44.26.png

### StartEncrypt Pro
Need an account in StartSSL, get the API token and API certificate;
Install and run, no any coding, support Windows server and Linux server;
Not just get the SSL certificate automatically, but install it automatically;
Not just Encrypted, but also identity validated to display EV Green Bar;
Not just 90 days period, but up to 39 months, more than 1180 days;
Not just low assurance DV SSL certificate, but also High assurance OV SSL and EV SSL;
Not just for one domain, but up to 120 domains with wildcard support;
For OV SSL and EV SSL, just charge the validation cost annually, certificate is FREE!

@ZE3kr 有 preload 的，详见 imququ.com
不过不太可能向个人站点开放申请。 另外开 HPKP 和 DANE 的不止你一个，窝还有 @imlonghao 都是
还有 @4679kun

另外 openssl1.1.0 即将正式兹磁 DANE ， DNSSEC 现在还不够普及…… 另外 HPKP 和 HSTS 是搭配来用的

@lslqtz 那是因为那帮技术懒而已，还有兼容性的考虑

另外这个客户端其实就是一个 StartAPI 的官方 example 而已，前几天给自己邮件域名签 ECC 的时候就发现丫上线了 startAPI ，顿时就感觉到丫准备玩自动化签发了没想到还真来了……

@yeyeye 上次我立帖说 360 和 startcom 合作有利于推进国内安全发展，甚至可能使劫持无利可图最终没任何运营商搞劫持
直接被骂成狗

@lhbc 这就是 V2 的特色

@VmuTargh DANE 不是需要在 DNS 解析商设置吗，为什么会在 OpenSSL 里？ DANE 应该是配合 DNSSEC 试用吧。

@VmuTargh 神他妈懒。。

v2 反中不是政治正确么。。。
反正这证书我已拉黑

@lslqtz 要说流氓毒瘤，赛门铁克更加毒瘤。 thewte CA 给某监控公司签发 PKI 我就不表， CT 服务器只允许自家证书上可信度几乎为 0

@ZE3kr 反正窝不造，应该是自带记录生成和验证。 DANE 目前前景仍然不太明朗……