后 Symantec 时代最完美的单域名一年期免费 SSL 证书

2017-12-08 16:35:10 +08:00
 isCyan

太长不看版本:阿里云免费证书恢复正常签发,DigiCert 根证书,支持 Windows XP 等老旧客户端。

今天 12 月 8 号,DigiCert 新的证书签发系统貌似已经升级完成。阿里云和腾讯云的免费证书签发页面上的提醒都没有了。

12 月 1 号之前,除了阿里云之外,其他的 FreeSSL.org 、腾讯云、七牛云、又拍云等等免费证书的中级 CA 都是 TrustAsia (亚洲诚信,一家中国的 SSL 证书销售代理商。只有阿里云的免费证书是 Symantec 官方的 DV 中级 CA 签发的。

12 月 5 号,我就测试了 FreeSSL.org (偷跑版,按计划该是 7 号才能签),发现已经可以正常签发 DigiCert 根、TrustAsia 中级的免费证书了。原帖在: https://www.v2ex.com/t/412262。

其中就有人说这款新的免费证书不支持 Windows XP 等老旧客户端,虽然那个错误可能是因为我的测试站需要支持 SNI 才能正常访问,但是我在 MySSL 测试时也的确看到证书不兼容旧版的系统和浏览器。

那么阿里云呢?按理说之前就是 Symantec 官方中级 CA,现在应该变成 DigiCert 官方中级 CA 吧。而且阿里云的提示中也提到了会提升证书兼容性。我今天就去试着签了一张。果然,MySSL 测试时全部客户端都能正常兼容。

用的是 2006 年的 DigiCert 根证书,和今年 11 月末签发的名为 Encryption Everywhere 的 DigiCert 官方中级证书,非 TrustAsia。

而且,之前签发阿里云免费证书选择 DNS 验证时,需要在你的域名(比如 test.example.com )下添加一个 TXT 记录,如果那个域名原本有 CNAME 记录,再加 TXT 记录就会产生冲突。而腾讯云等 TrustAsia 系则是在 _dnsauth.test.example.com 下添加 TXT 记录,就没有上述问题。

现在更新后的阿里云免费证书 DNS 验证也是在 _dnsauth 子域名下(和 TrustAsia 系的验证方式一样)避免了上述麻烦。

综上,阿里云免费证书大概是目前最完美的单域名一年期免费 SSL 证书。

缺点:不同于 TrustAsia 系免费证书及旧版 Symantec DV 免费证书,没有嵌入 SCT 信息,Certificate Transparency 需要自己用 ct-submit 提交后通过 TLS extension 方式启用。详见 https://imququ.com/post/certificate-transparency.html

新阿里云免费证书测试站(需要客户端支持 SNI ): https://www.penbeat.cn/ ,支持 OCSP Stapling,未启用 HSTS,所以 SSL Labs 跑分应该是 A 没有 A+。

新 TrustAsia 系免费证书测试站(需要客户端支持 SNI ): https://www.minto.cc/ ,支持 OCSP Stapling,启用了 HSTS,所以 SSL Labs 跑分应该是 A+。

新阿里云免费证书长相:

8433 次点击
所在节点    SSL
10 条回复
wxcszh
2017-12-08 17:34:50 +08:00
阿里云的免费证书在哪里申请啊?

https://common-buy.aliyun.com/?spm=5176.2020520163.cas.1.3f5eef26slMlQW&commodityCode=cas#/buy
这里已经没有免费证书了
isCyan
2017-12-08 17:40:59 +08:00
@wxcszh 此帖可以暂时作废了,我手里有一堆免费证书订单……
真的没有入口了。我去开个工单问问。
isCyan
2017-12-08 17:54:03 +08:00
@wxcszh “您好,现在免费版的证书在阿里云进行调整,需要等到 12 月 17 号才能购买。” 又偷跑了一回…… 算是提前测评一下吧。
holulu
2017-12-08 18:31:37 +08:00
如果支持通配就更完美了,再加上全链 ECDSA 就更更完美了。
isCyan
2017-12-08 20:02:24 +08:00
@holulu 那就准备迎接 2018 年的 Let's Encrypt 吧,其实 LE 是最方便的
xiaoz
2017-12-08 23:02:12 +08:00
global 那个野卡证书兼容性咋样
isCyan
2017-12-08 23:30:55 +08:00
@xiaoz 是在 Namecheap 黑五买的 20 刀的 Comodo 野卡,兼容性很好。可是,我的证书是 ECC 的公钥,老旧客户端本身就不支持这个算法……

ECC/RSA 双证书的话,不知道 OCSP Stapling 和我用 Nginx 扩展开启的 Certificate Transparency 会不会出问题,还没试,就没搞。

其实我并不是很关心兼容性之类的,又不是企业网站,那些用 XP 的不考虑他们
xiaoz
2017-12-08 23:54:21 +08:00
@isCyan 谢谢回复,对证书的好坏真不懂,可以这样理解么:只要根证书没问题的,个人用哪个 DV 是不是都差不多呀?
isCyan
2017-12-09 00:28:54 +08:00
@xiaoz

免费证书嘛,反正免费,能用一天是一天。不能用了再签别的。

我们这种没钱的个人用的话呢:

能用 LE 的话 LE 就很不错,明年 LE 出野卡;
需要用 CDN 的话,要手工上传证书很麻烦,有效期要长一些,就要考虑商业证书了:
野卡就选 Comodo/AlphaSSL
只要单域名的话就等 17 号的阿里云免费证书 /Comodo/AlphaSSL/RapidSSL/如果以后 TrustAsia 免费证书优化了兼容性也可以用

大的 CA 拿出来卖的商业证书都肯定兼容 XP 的。上面新的 TrustAsia 免费证书那种情况比较少的。

大的 CA 就那么几个:
Comodo 以 PositiveSSL 廉价证书出名,代理商超级多,胡乱签发记录很多,有出信任危机的可能,能用一天是一天
Symantec 高大上,企业证书贵得上天,面向个人 DV 证书的品牌是 RapidSSL 当年也是不错选择,后来有了 TrustAsia 的免费证书,再后来就 GG 了
DigiCert 高大上,一直不卖个人用户。后来收购了 Symantec 的证书业务,前景不错
GlobalSign 信誉不错的公司,在国内以 AlphaSSL 免费野卡出名,OCSP 服务器竟然有中国大陆节点,域名有备案的国外 CA
GoDaddy 穷,买不起
Let's Encrypt 白金赞助商里有 Mozilla 和 Google Chrome,还怕啥?最稳最方便的免费证书,毕竟不是商业 CA 只要不胡乱签发,即使服务几个钓鱼网站出信任危机的机会也不大。如果 CDN 或者服务器上搞好了自动续期就一劳永逸。缺点是有效期只有 3 个月,如果 CDN 不支持自动续期需要手工部署的话有点麻烦。
holulu
2017-12-09 09:11:52 +08:00
DigiCert 有 DV 证书,个人可以买的,见过几个博客用过
不过还是 LE 好,明年还内嵌 SCT
国内好像就又拍 CDN 和 Coding Pages 用 LE

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/413153

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX