用了一次 StartSSL 免费证书,觉得流程很简单(比 Let's Encrypt 简单)。不知道有什么长期使用上的坑?比如一年到期 renew 时有没有意外?
Radeon · 2016-03-27 09:53:27 +08:00 · 5471 次点击这是一个创建于 3155 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
VmuTargh 2016-03-27 10:02:49 +08:00
PKI 服务器在大数字机房, 自己斟酌
|
 |
4
New2016 2016-03-27 10:14:59 +08:00 via iPhone
已吊销根证书
|
 |
5
aofall 2016-03-27 10:15:03 +08:00 via iPhone  3
@VmuTargh 在大数字机房又怎样 敢干坏事 就会像 CNNIC 一样被取消根证书信任
还有, Let's encrypt 由国内的云片网络提供网络,你咋不提这个? https 是非对称加密,只要你私匙不泄漏,没什么问题。真要大动干戈的中间人攻击你,还不如直接爆破你的 vps |
 |
6
oott123 2016-03-27 10:15:46 +08:00
LE 是可以用脚本自动续期的啊,怎么也比 StartSSL 强一点吧。证书有效期短是好事,安全。
|
 |
7
a1058021348 2016-03-27 10:23:53 +08:00 via iPad 1
|
|
9
VmuTargh 2016-03-27 10:27:05 +08:00 3
|
|
11
VmuTargh 2016-03-27 10:28:33 +08:00 1
@Radeon 我的建议是不要用 StartSSL 自己家的 CSR 生成工具, 这玩意还是自己本地 openssl 生成比较放心
|
 |
12
Radeon OP @VmuTargh 是的,我就是本地的 Linux 机器上的 openssl 工具生成的 CSR 。一年到期 renew 时是怎么样?有没有问题?
|
|
13
VmuTargh 2016-03-27 10:38:02 +08:00 1
@Radeon renew 应该没啥问题, StartSSL 在快到期的时候会发 email 提示你 renew 证书, 还有 Auth 证书记得备份, startssl 是通过证书登录的, 丢了比较麻烦
|
|
14
aofall 2016-03-27 10:43:41 +08:00 via iPhone
@Andy1999 然后被吊销根证书?不如查水表来得方便,而且还要啥有啥
还有 你被降权了 收不到你的回复提醒 @a1058021348 感谢提醒…… @xuan880 也是够了 不予评价 @VmuTargh 我还用 Wosign+LE 呢 StartSSL 的认证不知道为什么一直过不去 |
 |
17
DesignerSkyline 2016-03-27 10:58:38 +08:00 1
@aofall 云片只是赞助而已
 |
 |
18
SoloCompany 2016-03-27 11:16:35 +08:00 via iPhone 1
不要用 QQ
不要用微信 手动吊销 cnnic 根证书 手动吊销 startssl 根证书 还有吗? |
 |
19
Slienc7 2016-03-27 11:24:33 +08:00 via Android 2
@aofall 收不到提醒也可能只是臨時抽風或者你自己被降權。
StartSSL 除了會“隨機”觸發延遲簽發(告知你需要等幾小時到幾個工作日不等以備他們人工審核然後再給你簽),以及週末例行維護不簽證書之外,應該沒什麼坑了。 |
 |
20
wdlth 2016-03-27 11:38:25 +08:00 1
StartSSL 的 CRL 、 OCSP 等服务在国内是解析到 WoSign 的服务器,还不是为了国内的初级阶段网络环境访问方便。难道像以前 EdgeCast 被污染, DigiCert 、 Mozilla 、 WordPress 等网站遭殃,就好过了?
GlobalSign 还用百度云减速呢,难道也去吊销根证书? 这里还用的 TrustAsia ,是不是也要吊销中级证书? |
 |
21
clanned 2016-03-27 11:57:09 +08:00 via Android 1
安利安利 let's encrypt ~ dnspod 和 cloudxns dns 认证方式 https://github.com/xdtianyu/scripts/tree/master/le-dns
目录认证 https://github.com/xdtianyu/scripts/blob/master/lets-encrypt/README-CN.md |
 |
22
techmoe 2016-03-27 12:21:10 +08:00
我不是很懂,如果真要是 startssl 归 360 了那某些人搞审查是不是就容易了
|
|
23
DesignerSkyline 2016-03-27 13:13:41 +08:00
主要是使用 StartSSL 免费证书的网站有被墙的黑历史,所以最好是选择基数比较大(现在已经颁发了 140 万个左右了)的 Let's Encrypt 比较保险
|
 |
24
usedname 2016-03-27 13:27:36 +08:00
要再发一个邮件重签,没有续费的概念吧,所以我买了个便宜的 comodo
|
 |
25
Cu635 2016-03-27 13:59:58 +08:00 1
|
|
26
SoloCompany 2016-03-27 14:38:00 +08:00
@Cu635 如果是民逗圈的说这些话不奇怪,因为那里很多人不长脑子,但这里是技术圈,也是随便可以忽悠的吗。现在说的是站长立场,如果作为个人用户立场,你爱注销什么根证书就注销,和别人没关系,访问不了网站是你自己的事情,你建站不用 A 证书而是用了你自己认为更有公信力的 B 证书,并且把 A 的 CA 给拉黑了,难不成你可以让你所有用户都把 A 的 CA 拉黑不成?否则说 MIT 攻击的,难不成 A 的 CA 伪造签发了你站点的根证书,你的用户就都能察觉了?
|
 |
27
alect 2016-03-27 14:39:39 +08:00
楼上的说什么国内的不能用的都够了。。你们那么牛逼咋不飞呢
|
 |
28
BOYPT 2016-03-27 17:59:09 +08:00 2
所以这楼里的鄙视链:
[注销根证书] BS [不注销根证书的] [用 LE 的] BS [用 StartSSL 的] |
 |
29
Laforet 2016-03-27 19:03:49 +08:00
StartSSL 免费的最大黑点不是改签或者吊销要收钱吗?
|
|
30
Cu635 2016-03-27 20:26:22 +08:00
|
|
31
SoloCompany 2016-03-27 21:13:47 +08:00 via iPhone
@Cu635 既然是自诩技术人的,能有一码事说一码事么,说的明明是签发证书的问题,和网络监管有半毛钱关系么,怕有人不理解那么我也放论证了,神展开很有意思么,不是每个人都喜欢什么都往政治正确上扯的
|
 |
32
lightening 2016-03-27 21:31:19 +08:00 1
个人用没什么问题的。
Let's Encrypt 主要优势在于自动化。个人就一个站点,一年 renew 一次,不自动化也无所谓。如果你有需要管理 100 个域名的 SSL 证书, LE 的优势就出来了。 |
|
33
Cu635 2016-03-27 21:51:33 +08:00
|
 |
34
TankyWoo 2016-03-27 22:47:04 +08:00 1
let's encrypt 有些复杂了,第一次折腾得花一些时间。
startssl 门槛简单多了 不过如今免费 ssl 证书也没啥可选了,就上面两个还行 |
 |
35
zingl 2016-03-28 09:53:29 +08:00 1
域名稍微有点“象”商业用途的就不给你签
|
Select Language