StartSSL 推出 StartEncrypt 自动化工具,叫板 letsencrypt

@ZE3kr 微软的 Windows 至今没有彻底吊销 CNNIC 的 CA ……………

Firefox 浏览器，我还得手动彻底拉黑 CNNIC 和 CFCA 等一大票 CA
@lhbc 360 ，业界毒瘤……………

@ZE3kr 另外 DANE 现在还要上插件才能兹磁，这个简直不能说啥……

@ZE3kr 我道歉，我的 Chrome 炸了。。

沃通去年就出了 SSL 精灵
用起来还没网页直接申请好用

@ZE3kr 不好意思啊，最近在给个人服务器加 https ，所以翻到这个贴。能问一下签发 https 证书还能怎么作恶么？

@vjnjc 实际上操作系统会默认信任一些证书签发商，这些签发商其实都能够签发任意域名的证书的，但证书签发商应该只受理服务器 /域名 /电子邮箱拥有者提交的证书请求。但是如果不是这样，而是随便就给签发证书，就算作恶了。但是如果作恶了，就能发现证书签发商签发的公钥，能确认就是这个 CA 签的，然后至少服务器拥有者就能知道这家服务商作恶了。

@ZE3kr 所以 letsencrypt 有一部是 check owner ，在指定 url 下放一个指定内容的文件，就是为了不作恶是么？
然后被第三者拿到了 https 的证书后是不是就能做 man in the middle 攻击了，是这样嘛？这方面不是太懂，请教一下。

@vjnjc 是这样的，你可以通过放文件验证， LE 也能用 DNS 添加记录验证，总之就需要验证你有这个域名，一切证书颁发商都是如此。证书请求只用提交 CSR ， Private Key 在本地生成，不传输。不拿到 Private Key 而拿到证书内容毫无作用，而且证书本身就是作为 Public
Key 公开的，任何人都能拿到任何支持 HTTPS 网站的证书而拿不到 Private Key 。拿到了 Private Key 就能当中间人了。其实不拿到 Key 也能当中间人，只不过这个中间人根本不能读取到传输的内容，不能篡改内容等等，也是安全的，见 SNI Proxy

@ZE3kr 多谢指教，我最后用了 letsencrypt 的 90 天证书。用 ssllabs 的工具 test 下来是 A ，同事拿 startsll 的证书 test 下来是 F -0-，开心。

@vjnjc 分数拿多少跟证书没多大关系，我用 startssl 可以做到 A+，关键是配置。

1 、为什么 startssl 和 let'sencrypt 的 dv 证书都得 3 个月重新验证一次？
2 、其它 class 收费的证书是否也得每隔 3 个月重新验证一次？
3 、苹果 Safari 不信任 startssl dv 证书，那它的 class2 以上的还信任吗？
4 、个人站长，但多个域名，有何收费但比较值得注册的证书推荐？
谢谢。

@wkl17 startssl 现在已经不推荐使用， lets Encrypt 可以用自动化工具签发，
无所谓几个月有效期，这么短是为了安全性。 所有的证书都不再被信任，直到整改期结束。
无论是个人站长还是公司，目前收费证书没有廉价的多域名 UCC 证书渠道， comodo 的应该是相对便宜的。
既然是个人网站，还是用 let'sencrypt 自动化工具部署吧。