太长不看版本:阿里云免费证书恢复正常签发,DigiCert 根证书,支持 Windows XP 等老旧客户端。
今天 12 月 8 号,DigiCert 新的证书签发系统貌似已经升级完成。阿里云和腾讯云的免费证书签发页面上的提醒都没有了。
12 月 1 号之前,除了阿里云之外,其他的 FreeSSL.org 、腾讯云、七牛云、又拍云等等免费证书的中级 CA 都是 TrustAsia (亚洲诚信,一家中国的 SSL 证书销售代理商。只有阿里云的免费证书是 Symantec 官方的 DV 中级 CA 签发的。
12 月 5 号,我就测试了 FreeSSL.org (偷跑版,按计划该是 7 号才能签),发现已经可以正常签发 DigiCert 根、TrustAsia 中级的免费证书了。原帖在: https://www.v2ex.com/t/412262。
其中就有人说这款新的免费证书不支持 Windows XP 等老旧客户端,虽然那个错误可能是因为我的测试站需要支持 SNI 才能正常访问,但是我在 MySSL 测试时也的确看到证书不兼容旧版的系统和浏览器。
那么阿里云呢?按理说之前就是 Symantec 官方中级 CA,现在应该变成 DigiCert 官方中级 CA 吧。而且阿里云的提示中也提到了会提升证书兼容性。我今天就去试着签了一张。果然,MySSL 测试时全部客户端都能正常兼容。
用的是 2006 年的 DigiCert 根证书,和今年 11 月末签发的名为 Encryption Everywhere 的 DigiCert 官方中级证书,非 TrustAsia。
而且,之前签发阿里云免费证书选择 DNS 验证时,需要在你的域名(比如 test.example.com )下添加一个 TXT 记录,如果那个域名原本有 CNAME 记录,再加 TXT 记录就会产生冲突。而腾讯云等 TrustAsia 系则是在 _dnsauth.test.example.com 下添加 TXT 记录,就没有上述问题。
现在更新后的阿里云免费证书 DNS 验证也是在 _dnsauth 子域名下(和 TrustAsia 系的验证方式一样)避免了上述麻烦。
综上,阿里云免费证书大概是目前最完美的单域名一年期免费 SSL 证书。
缺点:不同于 TrustAsia 系免费证书及旧版 Symantec DV 免费证书,没有嵌入 SCT 信息,Certificate Transparency 需要自己用 ct-submit 提交后通过 TLS extension 方式启用。详见 https://imququ.com/post/certificate-transparency.html
新阿里云免费证书测试站(需要客户端支持 SNI ): https://www.penbeat.cn/ ,支持 OCSP Stapling,未启用 HSTS,所以 SSL Labs 跑分应该是 A 没有 A+。
新 TrustAsia 系免费证书测试站(需要客户端支持 SNI ): https://www.minto.cc/ ,支持 OCSP Stapling,启用了 HSTS,所以 SSL Labs 跑分应该是 A+。
新阿里云免费证书长相:
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.