startssl、let'sencrypt 等证书相关的 4 个问题求解

1 、为什么 startssl 和 let'sencrypt 的 dv 证书都得 3 个月重新验证一次？
2 、其它 class 收费的证书是否也得每隔 3 个月重新验证一次？
3 、苹果 Safari 不信任 startssl dv 证书，那它的 class2 以上的还信任吗？
4 、个人站长，但多个域名，有何收费但比较值得注册的证书推荐？
谢谢。

ericFork

2017-01-22 03:07:51 +08:00

1. startssl 有三个月验证一次？他们家都是一年起吧。
letsencrypt 每次颁发的有效期只有三个月，所以每 3 个月要 renew 一次

2. 一般都是一年起

3. 否

4. PositiveSSL 或者来路不一定正不正的 AlphaSSL

ZE3kr

2017-01-22 06:46:56 +08:00

1. 三个月一次相对会更安全一些，因为相当于每三个月要认证一次域名所有权。此外还能鼓励自动化证书部署，官方解释： https://letsencrypt.org/2015/11/09/why-90-days.html

4. 感觉收费的没有什么值得注册的，统配也没必要， Lets Encrypt 能一张证书 100 个域名。 EV 证书还有点意思，不过个人也搞不了。

ZE3kr

2017-01-22 06:48:16 +08:00

此外不推荐 StartSSL ，包括沃通的免费证书。沃通已经玩完了。 StartSSL 的免费证书 Revoke 要交钱，你说坑不坑。

sumu

2017-01-22 07:48:26 +08:00

startssl ，之前是一年，最近改成 2 年还是 3 年了，但依然很麻烦，心里得记着这个事，正在弃用的路上， certbot 已在测试中

william23

2017-01-22 09:37:45 +08:00

觉得一楼的回答很中肯，前 3 个的确如此。
再说下我自己的经历，
之前申请的是 startSSL,后来客服说不支持 ios10.2 的系统，他的所有证书都是，是说需要修复要过一个月才好，当时是 12 月底。
另外，现在用的是云服务上自带的证书，免费的
希望能帮到楼主

wkl17

2017-01-22 15:55:40 +08:00

@ericFork
startssl 证书是 3 年没错，但我记得好像验证域名时，有提示 3 个月，似乎是 3 个月之后要再一次验证域名还是你的？

但 iphone safari 访问 startssl 官网 https 可以正常打开，但它颁发的 dv 证书，用 iphone safari 却无法访问，很奇怪了。

ericFork

2017-01-22 16:47:50 +08:00

@wkl17 那个验证啊，只有你下次购买证书时才需要再验证的，和证书本身的有效期无关

第二个是因为 2016-10-21 之后 StartSSL 颁发的证书会被认为是不信任，但之前颁发的暂不受影响： https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

wkl17

2017-01-22 17:26:53 +08:00

@ZE3kr 看了。可惜，他们大概没有考虑在 windows 下的 nginx 吧，那些自动化大概只是针对 Linux 。而且即使自动更新也会导致网站中断一下吧，更换证书必须停止 web 服务。

msg7086

2017-01-24 07:23:03 +08:00

@wkl17 什么时候开始更换证书需要停止 Web 服务了？

wkl17

2017-01-25 03:33:34 +08:00

@msg7086 有一个 nginx-upupw ，我感觉没有停止 web 服务，似乎证书无法覆盖啊，感觉它启动 web 服务后会锁住证书文件。难道是我梦幻了？

msg7086

2017-01-25 17:03:21 +08:00

除非你用的是 Windows 。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/336141

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.