V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
WhyTry
V2EX  ›  分享发现

CloudFlare 正式免费 SSL 服务

  •  
  •   WhyTry · 2014-09-30 13:05:47 +08:00 via iPad · 11826 次点击
    这是一个创建于 3739 天前的主题,其中的信息可能已经有所发展或是发生改变。
    https://blog.cloudflare.com/introducing-universal-ssl/
    https://blog.cloudflare.com/origin-server-connection-security-with-universal-ssl/

    我已经在应用到正式服务了,发现改为 SSL 非常简单。不过担心 CloudFlare 这个举动会加速 CloudFlare 在国内情况的恶化
    42 条回复    2014-10-17 17:09:20 +08:00
    WildCat
        1
    WildCat  
       2014-09-30 13:15:22 +08:00 via iPhone
    问个问题,这个还需要自己买SSL证书吗?
    ttimasdf
        2
    ttimasdf  
       2014-09-30 13:16:43 +08:00
    For all customers, we will now automatically provision a SSL certificate on CloudFlare's network that will accept HTTPS connections for a customer's domain and subdomains. Those certificates include an entry for the root domain (e.g., example.com) as well as a wildcard entry for all first-level subdomains (e.g., www.example.com, blog.example.com, etc.).

    这是赠送证书的节奏。。?= =
    我读的书少你不要骗我。。。
    wzxjohn
        3
    wzxjohn  
       2014-09-30 13:24:44 +08:00 via iPhone
    这个内容的帖子起码看了三遍。。。
    @ttimasdf 感觉似乎应该不是这样吧。。。谁去试试~
    qiuai
        4
    qiuai  
       2014-09-30 14:03:57 +08:00
    CloudFlare 都在计划国内节点了..
    jasontse
        5
    jasontse  
       2014-09-30 14:05:48 +08:00 via iPad
    @qiuai
    CloudFlare 的 IP 不都是 Anycast 的吗? 国内可以?
    bobopu
        6
    bobopu  
       2014-09-30 14:06:38 +08:00
    更关心他啥时能免费开放cname
    yangzh
        7
    yangzh  
       2014-09-30 14:06:57 +08:00
    @WildCat 不需要。
    @ttimasdf 签在 cloudflare cdn 上的证书。你用它的 cdn 就有免费 ssl。

    @wzxjohn 刚刚才正式发布的似乎。
    MayLava
        9
    MayLava  
       2014-09-30 14:10:35 +08:00
    我觉得是要自己买证书,他们提供的是对SSL站点的加速服务。

    我改为Full SSL后,访问https后显示了CloudFlare的错误页面,提示website is offline。应该是他们检查我443端口无响应后返回的错误信息。
    接着我修改了nginx设置,该为监听443端口。然后访问https后,CloudFlare显示SSL handshake failed。
    ttimasdf
        10
    ttimasdf  
       2014-09-30 14:11:29 +08:00
    试用了下。。表示没快多少= =
    24小时后发新证书,所以证书的问题先不吐槽。。

    ping起来,原来500+,之后250+,丢包率都不到5%,数据还算漂亮

    加载速度,用自己东海岸的wordpress试的。
    没有变化好嘛= =
    本地无缓存完全加载在3s左右,有时候cloudflare还会略长。

    还有cf坑爹的DNS。。用CDN要换DNS这个。。第一次遇到的说
    阿里DNS的那种酸爽的感觉完全没有了!

    dig 114的DNS,到现在30多分钟了还没有更新,TTL才600啊。。
    原来阿里的时候连谷歌DNS都是秒更啊。。
    Tink
        11
    Tink  
       2014-09-30 14:12:06 +08:00
    他这个讲的不清楚,我感觉意思是自己的证书他们支持cdn
    ttimasdf
        12
    ttimasdf  
       2014-09-30 14:16:06 +08:00
    @yangzh 那这个不跟openshift的证书差不多嘛。
    如果用别的域名,浏览器会警告的呀。
    alsotang
        13
    alsotang  
       2014-09-30 14:19:17 +08:00
    我觉得是送 SSL 证书
    MayLava
        14
    MayLava  
       2014-09-30 14:21:09 +08:00   ❤️ 1
    仔细看了一下。
    1.没有SSL的网站可以用Flexible SSL模式。
    2.你可以自己给自己颁发证书,然后启用Full SSL模式。
    ttimasdf
        15
    ttimasdf  
       2014-09-30 14:21:13 +08:00
    Custom SSL Certificates

    Custom SSL certificates are available to zones with Business or Enterprise plans. Please purchase such a plan to access this feature.

    好了,大家可以散了。跟openshift的证书一样,有跟没有差不多
    hjc4869
        16
    hjc4869  
       2014-09-30 14:22:34 +08:00 via iPhone
    @MayLava 你服务器没开ssl就选择第一种,如果你是自签的证书就选第二种,你买了证书就选第三种。
    多读一下说明,不要乱试。
    MayLava
        17
    MayLava  
       2014-09-30 14:24:13 +08:00
    再加一条。。。

    自己颁发的SSL证书需要CloudFlare的高级服务(Business or Enterprise plans)
    surftheair
        18
    surftheair  
       2014-09-30 14:24:46 +08:00
    证书是颁发给cloudflaressl.com的,不能用自己的证书
    ttimasdf
        19
    ttimasdf  
       2014-09-30 14:32:21 +08:00
    好了,把血的教训总结一下。

    CF家说是支持SSL,其实跟openshift,qiniu的证书一样,所有的免费证书都一个diao样=3=
    不过business plan能自定义证书,而且支持从有SSL证书的源站抓取,这比七牛还是好一点的~

    速度真没感觉快,可能是我的节点问题。(可是跟东海岸一样快,这得有多。。)

    dns不好用。特别是国内的DNS基本无法同步,难道被墙外边了?(刚才dig了一下114还是没更新。)

    有一个好处是支持ipv4转ipv6。对广大校园网用户可能有那么一丁点的用,但是。。我的服务器也有哇。。
    raincious
        20
    raincious  
       2014-09-30 14:34:56 +08:00
    真的呢。但是最高只能Full SSL,也就是说只能用Cloudflare自己的SSL证书。
    surftheair
        21
    surftheair  
       2014-09-30 14:44:12 +08:00
    wzxjohn
        22
    wzxjohn  
       2014-09-30 14:49:08 +08:00
    @surftheair 那这访问不还是会证书错误么。。。
    ibigbug
        23
    ibigbug  
       2014-09-30 15:04:26 +08:00
    @wzxjohn 是会的啊 域名不匹配 https://blog.xiaoba.me

    也懒得迁回去了
    Jaylee
        24
    Jaylee  
       2014-09-30 15:09:43 +08:00
    @wzxjohn @raincious

    想免费的话可以用startssl的证书,不会提示证书错误 看效果: https://www.jaylee.cc
    Jaylee
        25
    Jaylee  
       2014-09-30 15:10:20 +08:00
    btw 有色绿色的锁看起来就是爽!
    Jaylee
        26
    Jaylee  
       2014-09-30 15:11:05 +08:00
    @ibigbug 看我的
    raincious
        27
    raincious  
       2014-09-30 15:14:52 +08:00
    @Jaylee 我觉得你不在讨论同一个问题。

    您的查询: www.jaylee.cc => 115.28.147.133
    本站主数据: 山东省 , 青岛市 (阿里云BGP数据中心) , 电信
    本站辅数据: 未收录 (欢迎点击 〖添加辅数据〗 提供,谢谢!)
    参考数据一: 北京市 万网IDC机房
    参考数据二: 北京市 万网高科技信息技术有限公司
    ttimasdf
        28
    ttimasdf  
       2014-09-30 15:20:37 +08:00
    @Jaylee 你用了cloudflare的cdn,也会变红叉,@ibigbug 跟你说的问题不一样

    再说,哪个自签发证书的不把自己的CA加入信任列表。。
    lemonda
        29
    lemonda  
       2014-09-30 15:37:35 +08:00   ❤️ 1
    发个图帮理解下:
    http://img3.tuchuang.org/uploads/2014/09/cloudflare.png
    CloudFlare 这次是做了个大好事,希望不加剧它被墙的情况
    raincious
        30
    raincious  
       2014-09-30 15:41:28 +08:00
    @lemonda 大好事的确不可否认的,但是没有好到大声笑,笑出声的程度。// 可能我比较贪婪
    wzxjohn
        31
    wzxjohn  
       2014-09-30 17:10:52 +08:00
    @Jaylee 这样的话你的证书需要上传到CloudFlare么?
    Showfom
        32
    Showfom  
       2014-09-30 17:11:51 +08:00
    @jasontse 全球 ping 114.114.114.114 全球 Anycast 国内的 IP 是可以广播在国外的,反过来的话,呵呵,除非和电信联通的领导认识
    wzxjohn
        33
    wzxjohn  
       2014-09-30 17:12:56 +08:00
    @Jaylee 你确定你用了CloudFlare?我ping你的域名得到的显然不是CloudFlare的IP地址哦。。。
    wzxjohn
        34
    wzxjohn  
       2014-09-30 17:13:47 +08:00
    @raincious 我就说我访问发现好像完全没用CloudFlare。。。。。。搞了半天是这娃搞错话题了啊。。。
    jasontse
        35
    jasontse  
       2014-09-30 18:16:16 +08:00 via iPad
    @Showfom 所以各节点按距离路由更加不现实
    ibigbug
        36
    ibigbug  
       2014-09-30 18:50:43 +08:00
    @Jaylee 我自己有证书的。但是免费版的不能上传。
    xoxo
        37
    xoxo  
       2014-09-30 19:11:48 +08:00
    很赞cloudflare 的服务,但想从cloudflare拿证书自己用的朋友就省了吧,人家服务器的key不会给你的
    Showfom
        38
    Showfom  
       2014-09-30 19:57:15 +08:00 via iPhone
    @jasontse 是的 成本更高
    Showfom
        39
    Showfom  
       2014-09-30 19:57:33 +08:00 via iPhone
    @xoxo 黑金去嘿嘿
    typcn
        40
    typcn  
       2014-10-01 00:29:42 +08:00
    我访问了一下CF加速的域名速度很快啊
    wzzyj8
        41
    wzzyj8  
       2014-10-01 09:35:46 +08:00
    @Jaylee 虽然已经看到CF在规划国内节点,但是现在CF在阿里有节点了?????

    CF的证书需要等待1-2天才会生效,明显是因为人太多了,到时候会提示你的。参见: https://blog.cloudflare.com/universal-ssl-be-just-a-bit-more-patient/
    carol20000
        42
    carol20000  
       2014-10-17 17:09:20 +08:00
    如果有要使用SSL,免费的可以看下 www.wosign.com
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2754 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 00:23 · PVG 08:23 · LAX 16:23 · JFK 19:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.