V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
alect
V2EX  ›  SSL

StartSSL 推出 StartEncrypt 自动化工具,叫板 letsencrypt

  •  
  •   alect · 2016-06-17 12:15:17 +08:00 · 6643 次点击
    这是一个创建于 3080 天前的主题,其中的信息可能已经有所发展或是发生改变。
    https://www.startssl.com/StartEncrypt
    毕竟startssl才是免费SSL的鼻祖好么?哈哈
    第 1 条附言  ·  2016-06-17 18:00:57 +08:00
    联系 startssl 要了一份 linux 的操作指南,说还没放网上……
    https://yunpan.cn/cRBIusykd9CvF (提取码: d91e )
    然后,我看文件的编辑者是个中国人……估计又是跟 wosign 合作的吧
    甚至有可能是 wosign 开发的,隐约记得 wosign 之前也有个类似的工具
    第 2 条附言  ·  2016-06-17 18:11:23 +08:00






    第 3 条附言  ·  2016-06-18 12:08:43 +08:00
    52 条回复    2017-01-22 18:05:23 +08:00
    imn1
        1
    imn1  
       2016-06-17 12:26:07 +08:00
    这就叫竞争促进发展,不管质量如何,有新的竞争加入总是好事
    jasontse
        2
    jasontse  
       2016-06-17 12:30:57 +08:00 via iPad
    可以多域名了?这个一签就是一年方便多了啊
    fcicq
        3
    fcicq  
       2016-06-17 12:32:01 +08:00
    看起来不错, 不开源没关系, 只要有手动输出证书的方法应该就可以考虑了.
    abelyao
        4
    abelyao  
       2016-06-17 14:21:45 +08:00
    @jasontse 前两天在 StartSSL 网站上申请一个免费的 SSL 证书,也是可以输入多个域名的
    airycanon
        5
    airycanon  
       2016-06-17 15:26:16 +08:00
    这个怎么用的,我在官网找了半天,连个使用说明都没有……
    alex321
        6
    alex321  
       2016-06-17 15:28:50 +08:00
    我居然还找回了好久之前注册的账号,现在允许重置登陆验证证书了。
    lyragosa
        7
    lyragosa  
       2016-06-17 15:42:22 +08:00
    等等 OV 和 EV 都可以自动签发?
    ehs2013
        8
    ehs2013  
       2016-06-17 15:50:17 +08:00
    startssl 现在还要求实名吗
    abelyao
        9
    abelyao  
       2016-06-17 16:29:05 +08:00
    @ehs2013 不要求,之前要?
    lslqtz
        10
    lslqtz  
       2016-06-17 16:32:39 +08:00 via iPhone
    @lyragosa 我朋友签了几十张 IV ,我们都以为他是壕,现在怀疑是这个了。。
    YUX
        11
    YUX  
       2016-06-17 16:38:02 +08:00 via iPhone
    能签绿条的??
    laoyur
        12
    laoyur  
       2016-06-17 16:41:25 +08:00
    前两天才把账号续了,发现有效期变成 3 年,不用每年都去续了
    证书有效期是 2 年
    xiaoz
        13
    xiaoz  
       2016-06-17 16:46:05 +08:00
    前几天 startssl 给我发推送邮件看到消息了,可是怎么没有找到使用说明?
    New2016
        14
    New2016  
       2016-06-17 16:58:53 +08:00
    shiny
        15
    shiny  
       2016-06-17 16:59:06 +08:00
    @lyragosa For OV SSL and EV SSL, just charge the validation cost annually, certificate is FREE
    FifiLyu
        16
    FifiLyu  
       2016-06-17 17:40:34 +08:00
    StartAPI Documentation

    Welcome to StartAPI! Get familiar with the StartAPI using the tutorials and references below.

    https://startssl.com/StartAPI/Docs
    wql
        17
    wql  
       2016-06-17 18:15:28 +08:00
    @lslqtz 对的。 StartSSL 是验证收费,证书免费。
    wzxjohn
        18
    wzxjohn  
       2016-06-17 19:21:51 +08:00
    @lslqtz StartSSL 的 IV 本来就是 60USD 然后随意签=。=
    namebus
        19
    namebus  
       2016-06-18 00:39:27 +08:00
    这就是 WoSign 写的文档,现在 StartSSL 基本上就是属于 360 了,当前应该是 WoSign 的团队在操作,有一段时间看到 ocsp1.wosign.comocsp.startssl.com 是同一个国内的 IP ,现在大家细心的会注意到 StartSSL 的中级证书名称都已经和 WoSign 的命名规则一致了,之前 Startcom 是有自己的命名规则的。
    WoSign Class 4 EV Server CA
    StartCom Class 4 EV Server CA
    alect
        20
    alect  
    OP
       2016-06-18 00:52:12 +08:00
    @namebus 国内这些土豪那么有钱,我强烈怀疑 startssl 早就被国内控股了。
    我早些年在 startssl 刚出来一年左右的时候跟 startssl 的创始人 Eddy Nigg 聊过,当时我突发奇想问如果要成为中国区代理或者合伙人要什么资质,竟然回复我有一家十万注册资本以上的注册公司即可,肯定弄不过国内的这些土豪。。
    namebus
        21
    namebus  
       2016-06-18 01:07:25 +08:00
    @alect Opera 已经被拿下,再拿下个 StartSSL 一点也不奇怪,更何况 WoSign 现在还离不开 Startcom 的资源,反正花的是资本市场的钱,不花白不花
    nvidiaAMD980X
        22
    nvidiaAMD980X  
       2016-06-18 01:11:27 +08:00 via Android
    看来是时候拉黑 StartSSL 的 CA 了…………
    jason19659
        23
    jason19659  
       2016-06-18 01:58:51 +08:00
    letsencrypt 最早内测就开始用了,难用的要死,阿里云还没法用
    lslqtz
        24
    lslqtz  
       2016-06-18 04:49:10 +08:00
    @wql 666 ,爽死了。
    ZE3kr
        25
    ZE3kr  
       2016-06-18 05:49:26 +08:00 via iPhone
    @nvidiaAMD980X 没必要拉黑吧,它要是真敢做恶,会自动被 Google 和各大操作系统直接拉黑,和 CNNIC 一样。
    ZE3kr
        26
    ZE3kr  
       2016-06-18 05:53:50 +08:00 via iPhone
    @jason19659 现在很多浏览器都会自动发送证书信息,这样只要发现有一个证书是 StartSSL 签发的但不是域名 /服务器所有者签发的,就可以证明它做恶。
    lhbc
        27
    lhbc  
       2016-06-18 08:08:54 +08:00 via Android
    @ZE3kr 没错。
    而且证书复制出来, 100%的证据确凿。
    所以,普通人根本不用担心 CA 去中间人你。
    lslqtz
        28
    lslqtz  
       2016-06-18 08:30:28 +08:00 via iPhone
    @lhbc 是的 按我来看是这样。
    网站值不值得被中间人?
    不值说毛,大网站被中间人攻击关你 p 事。
    我表示, CA 不会玩火的。
    顺便有个叫 HPKP
    lslqtz
        29
    lslqtz  
       2016-06-18 08:31:33 +08:00 via iPhone
    顺便一提 StartSSL 已经完蛋了, EV 证书全废了。
    lslqtz
        30
    lslqtz  
       2016-06-18 08:33:57 +08:00
    Chrome 的结果(注: 360 和 Chrome 的结果一样。)
    http://233.dog/f_67884216.png
    IE 的结果
    http://233.dog/f_53810729.png
    yeyeye
        31
    yeyeye  
       2016-06-18 09:24:03 +08:00
    @lhbc @ZE3kr 在 V2 有的事情是说不通的 以前我还立了一个贴(说明了一下 CA 不可能随便作恶的,一旦作恶,就是作死) 结果被骂死了 后来出了 CNNIC 的中间 CA 伪造证书(有的报道直接改为 CNNIC 伪造),各大浏览器很快响应

    然而呢 他们还是一样 没有任何改观

    所以只能说 尊重各自的想法吧
    ZE3kr
        32
    ZE3kr  
       2016-06-18 09:42:32 +08:00
    @lslqtz Mac 版本的 Chrome (51.0.2704.84) 的 EV 显示没问题。

    https://s3.tlo.link/sites/2/20160618093551/Screenshot-2016-06-18-09.32.56.png

    HPKP 似乎不能 Preload (毕竟中间证书迟早会过期),假如首次访问就被中间人搞了,好像也没啥用,所以也需要 DANE ,同时也必须要启用 DNSSEC 。(我比较无聊在 tlo.xyz 这个域名上同时配置了 DANE 和 HPKP )

    https://s3.tlo.link/sites/2/20160618094511/Screenshot-2016-06-18-09.44.26.png
    imxieke
        33
    imxieke  
       2016-06-18 10:08:19 +08:00
    ### StartEncrypt Pro
    Need an account in StartSSL, get the API token and API certificate;
    Install and run, no any coding, support Windows server and Linux server;
    Not just get the SSL certificate automatically, but install it automatically;
    Not just Encrypted, but also identity validated to display EV Green Bar;
    Not just 90 days period, but up to 39 months, more than 1180 days;
    Not just low assurance DV SSL certificate, but also High assurance OV SSL and EV SSL;
    Not just for one domain, but up to 120 domains with wildcard support;
    For OV SSL and EV SSL, just charge the validation cost annually, certificate is FREE!
    VmuTargh
        34
    VmuTargh  
       2016-06-18 10:17:19 +08:00
    @ZE3kr 有 preload 的,详见 imququ.com
    不过不太可能向个人站点开放申请。 另外开 HPKP 和 DANE 的不止你一个,窝还有 @imlonghao 都是
    还有 @4679kun

    另外 openssl1.1.0 即将正式兹磁 DANE , DNSSEC 现在还不够普及…… 另外 HPKP 和 HSTS 是搭配来用的

    @lslqtz 那是因为那帮技术懒而已,还有兼容性的考虑

    另外这个客户端其实就是一个 StartAPI 的官方 example 而已,前几天给自己邮件域名签 ECC 的时候就发现丫上线了 startAPI ,顿时就感觉到丫准备玩自动化签发了没想到还真来了……
    lhbc
        35
    lhbc  
       2016-06-18 10:30:36 +08:00 via Android
    @yeyeye 上次我立帖说 360 和 startcom 合作有利于推进国内安全发展,甚至可能使劫持无利可图最终没任何运营商搞劫持
    直接被骂成狗
    yeyeye
        36
    yeyeye  
       2016-06-18 10:33:36 +08:00
    @lhbc 这就是 V2 的特色
    ZE3kr
        37
    ZE3kr  
       2016-06-18 10:59:05 +08:00 via iPhone
    @VmuTargh DANE 不是需要在 DNS 解析商设置吗,为什么会在 OpenSSL 里? DANE 应该是配合 DNSSEC 试用吧。
    lslqtz
        38
    lslqtz  
       2016-06-18 11:01:25 +08:00 via iPhone
    @VmuTargh 神他妈懒。。
    iyeatse
        39
    iyeatse  
       2016-06-18 11:28:16 +08:00 via iPhone
    v2 反中不是政治正确么。。。
    反正这证书我已拉黑
    VmuTargh
        40
    VmuTargh  
       2016-06-18 11:40:21 +08:00
    @lslqtz 要说流氓毒瘤,赛门铁克更加毒瘤。 thewte CA 给某监控公司签发 PKI 我就不表, CT 服务器只允许自家证书上可信度几乎为 0

    @ZE3kr 反正窝不造,应该是自带记录生成和验证。 DANE 目前前景仍然不太明朗……
    nvidiaAMD980X
        41
    nvidiaAMD980X  
       2016-06-18 11:40:41 +08:00 via Android
    @ZE3kr 微软的 Windows 至今没有彻底吊销 CNNIC 的 CA ……………

    Firefox 浏览器,我还得手动彻底拉黑 CNNIC 和 CFCA 等一大票 CA
    @lhbc 360 ,业界毒瘤……………
    VmuTargh
        42
    VmuTargh  
       2016-06-18 11:47:24 +08:00
    @ZE3kr 另外 DANE 现在还要上插件才能兹磁,这个简直不能说啥……
    lslqtz
        43
    lslqtz  
       2016-06-18 13:08:56 +08:00
    @ZE3kr 我道歉,我的 Chrome 炸了。。
    chromee
        44
    chromee  
       2016-06-18 13:48:25 +08:00 via Android
    沃通去年就出了 SSL 精灵
    用起来还没网页直接申请好用
    vjnjc
        45
    vjnjc  
       2016-08-08 17:12:58 +08:00
    @ZE3kr 不好意思啊,最近在给个人服务器加 https ,所以翻到这个贴。能问一下签发 https 证书还能怎么作恶么?
    ZE3kr
        46
    ZE3kr  
       2016-08-08 23:11:40 +08:00 via iPhone
    @vjnjc 实际上操作系统会默认信任一些证书签发商,这些签发商其实都能够签发任意域名的证书的,但证书签发商应该只受理服务器 /域名 /电子邮箱拥有者提交的证书请求。但是如果不是这样,而是随便就给签发证书,就算作恶了。但是如果作恶了,就能发现证书签发商签发的公钥,能确认就是这个 CA 签的,然后至少服务器拥有者就能知道这家服务商作恶了。
    vjnjc
        47
    vjnjc  
       2016-08-08 23:21:17 +08:00
    @ZE3kr 所以 letsencrypt 有一部是 check owner ,在指定 url 下放一个指定内容的文件,就是为了不作恶是么?
    然后被第三者拿到了 https 的证书后是不是就能做 man in the middle 攻击了,是这样嘛?这方面不是太懂,请教一下。
    ZE3kr
        48
    ZE3kr  
       2016-08-09 00:27:08 +08:00 via iPhone   ❤️ 1
    @vjnjc 是这样的,你可以通过放文件验证, LE 也能用 DNS 添加记录验证,总之就需要验证你有这个域名,一切证书颁发商都是如此。证书请求只用提交 CSR , Private Key 在本地生成,不传输。不拿到 Private Key 而拿到证书内容毫无作用,而且证书本身就是作为 Public
    Key 公开的,任何人都能拿到任何支持 HTTPS 网站的证书而拿不到 Private Key 。拿到了 Private Key 就能当中间人了。其实不拿到 Key 也能当中间人,只不过这个中间人根本不能读取到传输的内容,不能篡改内容等等,也是安全的,见 SNI Proxy
    vjnjc
        49
    vjnjc  
       2016-08-09 01:08:53 +08:00
    @ZE3kr 多谢指教,我最后用了 letsencrypt 的 90 天证书。用 ssllabs 的工具 test 下来是 A ,同事拿 startsll 的证书 test 下来是 F -0-,开心。
    alect
        50
    alect  
    OP
       2016-08-09 12:53:29 +08:00   ❤️ 1
    @vjnjc 分数拿多少跟证书没多大关系,我用 startssl 可以做到 A+,关键是配置。
    wkl17
        51
    wkl17  
       2017-01-22 02:59:33 +08:00 via Android
    1 、为什么 startssl 和 let'sencrypt 的 dv 证书都得 3 个月重新验证一次?
    2 、其它 class 收费的证书是否也得每隔 3 个月重新验证一次?
    3 、苹果 Safari 不信任 startssl dv 证书,那它的 class2 以上的还信任吗?
    4 、个人站长,但多个域名,有何收费但比较值得注册的证书推荐?
    谢谢。
    alect
        52
    alect  
    OP
       2017-01-22 18:05:23 +08:00
    @wkl17 startssl 现在已经不推荐使用, lets Encrypt 可以用自动化工具签发,
    无所谓几个月有效期,这么短是为了安全性。 所有的证书都不再被信任,直到整改期结束。
    无论是个人站长还是公司,目前收费证书没有廉价的多域名 UCC 证书渠道, comodo 的应该是相对便宜的。
    既然是个人网站,还是用 let'sencrypt 自动化工具部署吧。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1030 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 22:56 · PVG 06:56 · LAX 14:56 · JFK 17:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.