能否低价申请到 10 年有效期的证书？

你都 pin 证书了，那就自签一个呗，想签多久签多久。

这肯定推荐自签证书，我都是签 20 年

标准 SSL pin 不太好用，安卓上有工具可以 remove the Certificate Pinning ，会修改一些 okhttp3 函数调用。

最好自己维护一个证书白名单列表。

@Xinu 但是这样的话客户端需要手动导入自签证书吧？

SSL 最长就是 13 个月，，，长了浏览器也不信任。你买多年的它也只会给你发一年的。

参考一下这个
https://shunix.com/ssl-pinning/

其中 PIN 证书 和 PIN 公钥的部分

用证书的 pubkey 做 pin 字段，之后用原来的 csr 申请新证书，pubkey 不会变化的。

你也可以事先多做几个 csr ，然后自签名取到 pubkey ，然后都 ssl pin 到软件里，将来万一密钥 key 文件泄漏，换一个 csr 申请。

@vfx666 你的是 web 服务？ 如果是 web 服务你只能买受信任的证书，而且最多 300 多天

做 ssl pin 无论如何都得存点什么才能叫 ssl pin 吧，你用系统根证书列表验证书不叫 ssl pin

@Xinu 我是 c++写的客户端，用 winhttp ，自签证书能搞吗？是不是要在程序里忽略证书安全性

@yinmin 请问在哪里可以这样申请证书？腾讯阿里貌似都不行

@vfx666 能的，可以做自签证书，你的服务端用自签证书开启 tls 传输，客户端通信的时候也要携带自签证书相关的内容。双向验证证书

@vfx666
https://www.yuque.com/xinu/notes/nigl89

自签证书用 openssl 工具，自己就能申请，也有在线申请的网站

@Xinu 客户端代码里不需要忽略证书安全性吗？自签证书不是会拒绝连接吗

@vfx666 #11 openssl 生成 key 和 csr 文件，在服务商申请证书时选择提交 csr 方式

@vfx666 客户端默认拒绝非信任的证书是为了防止有人使用使用野生证书做中间人攻击。而你都做 pin

@vfx666 客户端默认拒绝非信任的证书是为了防止有人使用野生证书做中间人攻击。而你都做 ssl pin 了，就不存在野生证书的问题了，直接接受自己的证书就行了

@ho121 但是这样的话还是得在客户端代码里设置忽略证书错误，不然 winhttp 默认是拒绝连接的吧

客户端代码里可以设置信任自签证书的

不需要忽略证书错误，只信任你自己的那个就行

@vfx666 我用的是 nodejs 和 go 都是可以设置信任自己的证书，大概率 winhttp 也可以设置信任自己的证书

@vfx666 你就忽略错误，WinHTTP 不是有办法拿到证书的上下文吗 https://learn.microsoft.com/en-us/windows/win32/winhttp/ssl-in-winhttp#:~:text=When%20using%20the,WINHTTP_OPTION_SERVER_CERT_CONTEXT%20flag%20instead. 拿到 CERT_CONTEXT structure 后，你用 openssl 解析判断是不是你的证书就行

@liuw666 WinHTTP 好像必须要忽略证书错误才能用自签证书，不过 WinHTTP 可以拿到建立 TLS 连接时服务器的证书，可以在代码里判断就是了