几个站用了,浏览器没问题。就是不知道能不能用在 API 站点上。不行的话还是要买了。 startssl 不靠谱了,有风险。
1
Seita 2016-09-02 21:52:27 +08:00
有什么区别?
|
2
abelyao 2016-09-02 22:03:59 +08:00 via iPhone
StartSSL 的风险能说说吗
|
3
wevsty 2016-09-02 22:05:05 +08:00
为什么不行?
|
4
suikator 2016-09-02 22:05:53 +08:00 via Android
|
5
alect 2016-09-02 22:32:37 +08:00
每次看到说 wosign , startssl 不安全的我都呵呵一笑……
|
6
sneezry 2016-09-02 22:34:32 +08:00 via Android
可以的,有交叉验证,解决兼容性问题。死皮赖脸推荐我写的小项目, https://ssl.md
|
7
Kilerd 2016-09-02 22:35:24 +08:00
@alect wosign 真的不安全, 签出过 github.com 根域的证书。
|
8
lhbc 2016-09-02 22:45:53 +08:00
把 API 的访问日志拉出来,统计 User-agent 的版本,然后查下兼容性呗。
|
9
Ellison 2016-09-03 10:04:38 +08:00
我反正是不信任 wosign
|
10
ZE3kr 2016-09-03 12:20:05 +08:00 via iPhone
|
11
ZE3kr 2016-09-03 12:21:46 +08:00 via iPhone
wosign 搞了那么多验证方式,最终有漏洞导致都能签出 github.com 证书,不太安全,还好现在修复了吧
|
12
ranran 2016-09-03 21:06:50 +08:00
@ZE3kr 人家说的是控制了子域名就能签发出主域名的 SSL 证书,那么 github.com 的子域名或子站点你是如何拿到控制权的?要严谨啊!
|
13
ZE3kr 2016-09-03 22:39:25 +08:00
@ranran 老 GitHub 用户的 Pages 不是 GitHub.io 而是 GitHub.com 的子域名(相信老用户都知道这点),所以能签 GitHub.com ,不过说这些也没用,证书早就被贴出来了很明显就是有 github.com
为了截这张图专门把显示器转了 90 度: 证书公钥(已包含了证书链) https://gist.github.com/ZE3kr/cffcfa23bb6e54a64058709649319e44 |