StartSSL 推出 StartEncrypt 自动化工具,叫板 letsencrypt
alect · 2016-06-17 12:15:17 +08:00 · 6635 次点击这是一个创建于 3072 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://www.startssl.com/StartEncrypt
毕竟startssl才是免费SSL的鼻祖好么?哈哈
毕竟startssl才是免费SSL的鼻祖好么?哈哈
第 1 条附言 · 2016-06-17 18:00:57 +08:00
联系 startssl 要了一份 linux 的操作指南,说还没放网上……
https://yunpan.cn/cRBIusykd9CvF (提取码: d91e )
然后,我看文件的编辑者是个中国人……估计又是跟 wosign 合作的吧
甚至有可能是 wosign 开发的,隐约记得 wosign 之前也有个类似的工具
https://yunpan.cn/cRBIusykd9CvF (提取码: d91e )
然后,我看文件的编辑者是个中国人……估计又是跟 wosign 合作的吧
甚至有可能是 wosign 开发的,隐约记得 wosign 之前也有个类似的工具
第 2 条附言 · 2016-06-17 18:11:23 +08:00
第 3 条附言 · 2016-06-18 12:08:43 +08:00
52 条回复 • 2017-01-22 18:05:23 +08:00
 |
1
imn1 2016-06-17 12:26:07 +08:00
这就叫竞争促进发展,不管质量如何,有新的竞争加入总是好事
|
 |
2
jasontse 2016-06-17 12:30:57 +08:00 via iPad
可以多域名了?这个一签就是一年方便多了啊
|
 |
3
fcicq 2016-06-17 12:32:01 +08:00
看起来不错, 不开源没关系, 只要有手动输出证书的方法应该就可以考虑了.
|
 |
5
airycanon 2016-06-17 15:26:16 +08:00
这个怎么用的,我在官网找了半天,连个使用说明都没有……
|
 |
6
alex321 2016-06-17 15:28:50 +08:00
我居然还找回了好久之前注册的账号,现在允许重置登陆验证证书了。
|
 |
7
lyragosa 2016-06-17 15:42:22 +08:00
等等 OV 和 EV 都可以自动签发?
|
 |
8
ehs2013 2016-06-17 15:50:17 +08:00
startssl 现在还要求实名吗
|
 |
11
YUX 2016-06-17 16:38:02 +08:00 via iPhone
能签绿条的??
|
 |
12
laoyur 2016-06-17 16:41:25 +08:00
前两天才把账号续了,发现有效期变成 3 年,不用每年都去续了
证书有效期是 2 年 |
 |
13
xiaoz 2016-06-17 16:46:05 +08:00
前几天 startssl 给我发推送邮件看到消息了,可是怎么没有找到使用说明?
|
 |
14
New2016 2016-06-17 16:58:53 +08:00
|
 |
15
shiny 2016-06-17 16:59:06 +08:00
@lyragosa For OV SSL and EV SSL, just charge the validation cost annually, certificate is FREE
|
 |
16
FifiLyu 2016-06-17 17:40:34 +08:00
StartAPI Documentation
Welcome to StartAPI! Get familiar with the StartAPI using the tutorials and references below. https://startssl.com/StartAPI/Docs |
 |
19
namebus 2016-06-18 00:39:27 +08:00
这就是 WoSign 写的文档,现在 StartSSL 基本上就是属于 360 了,当前应该是 WoSign 的团队在操作,有一段时间看到 ocsp1.wosign.com 和 ocsp.startssl.com 是同一个国内的 IP ,现在大家细心的会注意到 StartSSL 的中级证书名称都已经和 WoSign 的命名规则一致了,之前 Startcom 是有自己的命名规则的。
WoSign Class 4 EV Server CA StartCom Class 4 EV Server CA |
 |
20
alect OP @namebus 国内这些土豪那么有钱,我强烈怀疑 startssl 早就被国内控股了。
我早些年在 startssl 刚出来一年左右的时候跟 startssl 的创始人 Eddy Nigg 聊过,当时我突发奇想问如果要成为中国区代理或者合伙人要什么资质,竟然回复我有一家十万注册资本以上的注册公司即可,肯定弄不过国内的这些土豪。。 |
|
21
namebus 2016-06-18 01:07:25 +08:00
@alect Opera 已经被拿下,再拿下个 StartSSL 一点也不奇怪,更何况 WoSign 现在还离不开 Startcom 的资源,反正花的是资本市场的钱,不花白不花
|
 |
22
nvidiaAMD980X 2016-06-18 01:11:27 +08:00 via Android
看来是时候拉黑 StartSSL 的 CA 了…………
|
 |
23
jason19659 2016-06-18 01:58:51 +08:00
letsencrypt 最早内测就开始用了,难用的要死,阿里云还没法用
|
 |
25
ZE3kr 2016-06-18 05:49:26 +08:00 via iPhone
@nvidiaAMD980X 没必要拉黑吧,它要是真敢做恶,会自动被 Google 和各大操作系统直接拉黑,和 CNNIC 一样。
|
|
26
ZE3kr 2016-06-18 05:53:50 +08:00 via iPhone
@jason19659 现在很多浏览器都会自动发送证书信息,这样只要发现有一个证书是 StartSSL 签发的但不是域名 /服务器所有者签发的,就可以证明它做恶。
|
 |
28
lslqtz 2016-06-18 08:30:28 +08:00 via iPhone
|
|
29
lslqtz 2016-06-18 08:31:33 +08:00 via iPhone
顺便一提 StartSSL 已经完蛋了, EV 证书全废了。
|
|
30
lslqtz 2016-06-18 08:33:57 +08:00
Chrome 的结果(注: 360 和 Chrome 的结果一样。)
http://233.dog/f_67884216.png IE 的结果 http://233.dog/f_53810729.png |
 |
31
yeyeye 2016-06-18 09:24:03 +08:00
|
|
32
ZE3kr 2016-06-18 09:42:32 +08:00
@lslqtz Mac 版本的 Chrome (51.0.2704.84) 的 EV 显示没问题。
https://s3.tlo.link/sites/2/20160618093551/Screenshot-2016-06-18-09.32.56.png HPKP 似乎不能 Preload (毕竟中间证书迟早会过期),假如首次访问就被中间人搞了,好像也没啥用,所以也需要 DANE ,同时也必须要启用 DNSSEC 。(我比较无聊在 tlo.xyz 这个域名上同时配置了 DANE 和 HPKP ) https://s3.tlo.link/sites/2/20160618094511/Screenshot-2016-06-18-09.44.26.png |
 |
33
imxieke 2016-06-18 10:08:19 +08:00
### StartEncrypt Pro
Need an account in StartSSL, get the API token and API certificate; Install and run, no any coding, support Windows server and Linux server; Not just get the SSL certificate automatically, but install it automatically; Not just Encrypted, but also identity validated to display EV Green Bar; Not just 90 days period, but up to 39 months, more than 1180 days; Not just low assurance DV SSL certificate, but also High assurance OV SSL and EV SSL; Not just for one domain, but up to 120 domains with wildcard support; For OV SSL and EV SSL, just charge the validation cost annually, certificate is FREE! |
 |
34
VmuTargh 2016-06-18 10:17:19 +08:00
@ZE3kr 有 preload 的,详见 imququ.com
不过不太可能向个人站点开放申请。 另外开 HPKP 和 DANE 的不止你一个,窝还有 @imlonghao 都是 还有 @4679kun 另外 openssl1.1.0 即将正式兹磁 DANE , DNSSEC 现在还不够普及…… 另外 HPKP 和 HSTS 是搭配来用的 @lslqtz 那是因为那帮技术懒而已,还有兼容性的考虑 另外这个客户端其实就是一个 StartAPI 的官方 example 而已,前几天给自己邮件域名签 ECC 的时候就发现丫上线了 startAPI ,顿时就感觉到丫准备玩自动化签发了没想到还真来了…… |
 |
35
lhbc 2016-06-18 10:30:36 +08:00 via Android
@yeyeye 上次我立帖说 360 和 startcom 合作有利于推进国内安全发展,甚至可能使劫持无利可图最终没任何运营商搞劫持
直接被骂成狗 |
|
37
ZE3kr 2016-06-18 10:59:05 +08:00 via iPhone
@VmuTargh DANE 不是需要在 DNS 解析商设置吗,为什么会在 OpenSSL 里? DANE 应该是配合 DNSSEC 试用吧。
|
 |
39
iyeatse 2016-06-18 11:28:16 +08:00 via iPhone
v2 反中不是政治正确么。。。
反正这证书我已拉黑 |
|
40
VmuTargh 2016-06-18 11:40:21 +08:00
|
|
41
nvidiaAMD980X 2016-06-18 11:40:41 +08:00 via Android
|
 |
44
chromee 2016-06-18 13:48:25 +08:00 via Android
沃通去年就出了 SSL 精灵
用起来还没网页直接申请好用 |
|
46
ZE3kr 2016-08-08 23:11:40 +08:00 via iPhone
@vjnjc 实际上操作系统会默认信任一些证书签发商,这些签发商其实都能够签发任意域名的证书的,但证书签发商应该只受理服务器 /域名 /电子邮箱拥有者提交的证书请求。但是如果不是这样,而是随便就给签发证书,就算作恶了。但是如果作恶了,就能发现证书签发商签发的公钥,能确认就是这个 CA 签的,然后至少服务器拥有者就能知道这家服务商作恶了。
|
 |
47
vjnjc 2016-08-08 23:21:17 +08:00
@ZE3kr 所以 letsencrypt 有一部是 check owner ,在指定 url 下放一个指定内容的文件,就是为了不作恶是么?
然后被第三者拿到了 https 的证书后是不是就能做 man in the middle 攻击了,是这样嘛?这方面不是太懂,请教一下。 |
|
48
ZE3kr 2016-08-09 00:27:08 +08:00 via iPhone  1
@vjnjc 是这样的,你可以通过放文件验证, LE 也能用 DNS 添加记录验证,总之就需要验证你有这个域名,一切证书颁发商都是如此。证书请求只用提交 CSR , Private Key 在本地生成,不传输。不拿到 Private Key 而拿到证书内容毫无作用,而且证书本身就是作为 Public
Key 公开的,任何人都能拿到任何支持 HTTPS 网站的证书而拿不到 Private Key 。拿到了 Private Key 就能当中间人了。其实不拿到 Key 也能当中间人,只不过这个中间人根本不能读取到传输的内容,不能篡改内容等等,也是安全的,见 SNI Proxy |
|
49
vjnjc 2016-08-09 01:08:53 +08:00
@ZE3kr 多谢指教,我最后用了 letsencrypt 的 90 天证书。用 ssllabs 的工具 test 下来是 A ,同事拿 startsll 的证书 test 下来是 F -0-,开心。
|
 |
51
wkl17 2017-01-22 02:59:33 +08:00 via Android
1 、为什么 startssl 和 let'sencrypt 的 dv 证书都得 3 个月重新验证一次?
2 、其它 class 收费的证书是否也得每隔 3 个月重新验证一次? 3 、苹果 Safari 不信任 startssl dv 证书,那它的 class2 以上的还信任吗? 4 、个人站长,但多个域名,有何收费但比较值得注册的证书推荐? 谢谢。 |
Select Language