如题,公司之前的证书全部使用的是沃通的免费 SSL ,后来看到 FF 发通告所沃通将不被信任,所以准备迁移到 StartSSL 收费版;
但是最近一段时间的三大浏览器接二连三的发通告,声称不再信任之后的沃通 /StartCom 迁出的 CA 证书, Sa 浏览器更狠,连之前签发的都不信任了。
所以不知道现在 startssl 收费版还能不能用,不能用的话,大家推荐下比较好的 CA 收费版签发机构?
1
netwboy 2016-11-02 11:09:24 +08:00
comodo
|
2
phithon 2016-11-02 11:14:33 +08:00
贵司好奇怪。。。从我痛迁移到 startssl 。。有啥区别么。。
最好是 comodo 吧,可以买到 ecc 的证书,也便宜 |
3
hiboshi 2016-11-02 11:16:24 +08:00
alphassl 免费
|
4
pango 2016-11-02 11:17:00 +08:00
letsencrypt 挺好的,各大浏览器均认同他们家的。
而且有自动续签脚本,配置好后就根本不用管了。 |
5
lxf1992521 OP @phithon 之前上级并不知道 StartCom 和 沃通之间的关系,再者我也决定不了,现在出事了,只能临时抱佛脚了,╮(╯▽╰)╭
|
6
ctsed 2016-11-02 11:18:59 +08:00
国内的 ssl 商都被干死了
|
7
honeycomb 2016-11-02 11:20:02 +08:00 via Android 1
所以这么重要的事情,你们都不会仔细看一下 moziila , Google ,苹果的声明原文,各自的政策都说的很详细了。
Mozilla 在 Google 的 security 论坛连当时讨论过程的全部原文都有。 |
8
liqiazero 2016-11-02 11:31:20 +08:00
letsencrypt +1 ! 我只是在我个人的站点用的这个,然后我司有一部分探索性质的业务在用,各位有没有大量商用的经验和痛点可以分享。
|
9
likuku 2016-11-02 11:35:14 +08:00 1
自己看下 google,facebook,ms,amazon 自己的 ssl 签名,找这些公司用的 ssl CA 签发就是了,去年从其中某家签过,也并不贵。
|
10
jasontse 2016-11-02 11:39:28 +08:00 via iPad 1
千万云有 Symantec https://common-buy.aliyun.com/?commodityCode=cas#/buy
|
11
langmoe 2016-11-02 11:40:22 +08:00 3
公司用的东西,能花钱就花钱,千万不要妄想靠自己的 技术 /渠道 /关系 给公司省钱,除非老板是你亲戚
ssl.do 好像是凤凰卷和兽兽开的?人就在 V 站,如果开发票也是刚需的话可以艾特他俩咨询一下,靠谱应该还是靠谱的 |
12
zqcolor 2016-11-02 11:48:28 +08:00
letsencrypt +1
|
13
hqfzone 2016-11-02 11:49:29 +08:00
三大浏览器都说了?
|
14
yexm0 2016-11-02 12:15:44 +08:00 via Android
@hqfzone 嗯.最开始是 ff,接着是 apple,反应最慢的 g 家也在昨天发 revoke 通告了。
|
15
lshero 2016-11-02 12:17:44 +08:00
坐等数字厂推广 Opera
|
17
mooncakejs 2016-11-02 12:22:17 +08:00
Safari 的通告没收到,贴上来?说实话与其说是安全问题,不如说是政治问题
|
18
LU35 2016-11-02 12:31:24 +08:00 via Android 1
@mooncakejs 这都能和政治扯上关系,拜托先看看声明和讨论内容。
|
19
Tink 2016-11-02 12:40:25 +08:00
就不能找点靠谱的么
|
20
maze1024 2016-11-02 12:40:27 +08:00 via Android
感觉数字厂会用安装补丁的方式把证书装回去。。。
|
21
rainy3636 2016-11-02 12:44:27 +08:00 via iPhone 3
@mooncakejs 5 毛已转账,立即查收
|
22
skyeycirno 2016-11-02 12:45:31 +08:00 via iPhone
腾讯不就有??
|
23
Technetiumer 2016-11-02 13:44:07 +08:00
|
24
mooncakejs 2016-11-02 13:51:49 +08:00
|
25
ctsed 2016-11-02 14:00:00 +08:00
这些基础设施 可以打可以骂可以尘封雪藏 但绝对不能死
|
26
RqPS6rhmP3Nyn3Tm 2016-11-02 14:08:30 +08:00 via iPhone
歪个楼,国密证书……据说 360 是支持的
|
27
miao 2016-11-02 14:51:53 +08:00
更正一下看, 三大浏览器(FF,Ch,IE), 没 Sa 什么事
|
28
mytsing520 2016-11-02 15:55:23 +08:00
@miao 直接以 apple 公司的身份发布的声明,但我想说的可能是两个事
|
29
hqfzone 2016-11-02 16:18:03 +08:00
都是已签发的证书继续支持吧, startssl 还好一点。
虽然有错,但还是觉得 Mozilla 是考虑到 Let ’ s Encrypt 的推广才下这么狠的手。沃通这下算栽了。 https://support.apple.com/en-au/HT204132 |
30
honeycomb 2016-11-02 16:18:14 +08:00 via Android 1
@mooncakejs
这次事件是很明确的沃通自己挖了很多坑(蓄意地不守规矩)。 Mozilla 的讨论组有当时完整的记录,你为什么不去看一下。 @miao @mytsing520 苹果到目前只是准备封杀 wosign 的免费证书依赖的中级证书。微软倒是什么都没做。 |
32
mooncakejs 2016-11-02 17:06:28 +08:00
@honeycomb 我说是政治问题是,中方在计算机基础设备方面话语权太少,基本被美国几个公司拿捏。规矩完全是先来者定的,天价 https 证书我也不想买。
沃通除了中间有域名验证问题导致签发了几个冒名证书,搞笑的是,这个属于 10.21 前签发的。 挖坑什么的,棱镜门刚过去就忘记了? |
33
joyqi 2016-11-02 17:22:09 +08:00
用 12306 的证书来签。。。
|
34
yidinghe 2016-11-02 18:14:29 +08:00 via Android
以后业界管它叫“ 360 的证书”。
|
35
Quaintjade 2016-11-02 18:21:12 +08:00 via Android 3
@mooncakejs
洗地前能自己好好看看沃通这二货之前挖了多少坑吗? https://wiki.mozilla.org/CA:WoSign_Issues 最后被取消信任是因为“故意”签发 back-dating 证书。 |
36
mooncakejs 2016-11-02 18:27:35 +08:00
@Quaintjade 我无意洗地。我只是阴谋论:已签发的继续支持就比较有意思了
|
37
Marfal 2016-11-02 18:38:12 +08:00
Qcloud 也有免费的证书啊
|
38
Quaintjade 2016-11-02 18:39:20 +08:00 via Android 1
@mooncakejs
Mozilla 已放过话,如果被发现再有 back-dating ,那就连已签发的一并吊销。 自己作死玩脱了就扯什么政治问题,呵呵。 哦对了,沃通解释签发 SM2 证书问题还扯什么作为中国企业有义务配合测试国产加密算法呢。 |
39
wd85318 2016-11-02 18:46:31 +08:00
@Quaintjade
人家不看的,反正这是帝国主义的阴谋。。 |
40
falcon05 2016-11-02 18:54:38 +08:00 via iPhone
我有一张 startSSL 免费版的证书,过期不续了,真心自己玩死
|
41
mooncakejs 2016-11-02 19:03:12 +08:00
|
42
Quaintjade 2016-11-02 19:11:15 +08:00 via Android
|
43
Hanxv 2016-11-02 19:31:06 +08:00 via Android
|
44
bookit 2016-11-02 19:42:25 +08:00
@mooncakejs 360 必须死
|
45
mooncakejs 2016-11-02 20:00:30 +08:00
@Quaintjade lets 目前可以玩玩,商业网站没法用的。 没有免费证书的时候,商业网站就是要给 证书商交保护费
|
46
mooncakejs 2016-11-02 20:02:14 +08:00
@bookit 360 作为搅局者,乱了规矩么。
|
47
matsuz 2016-11-02 20:22:45 +08:00
SSL 证书经销商推荐 ssl.do
不过上面似乎说过了,那我再来推荐一个 https://www.gogetssl.com/ 证书品牌的话, Symantec 、 GeoTrust 、 GlobalSign 这些都不错 要便宜就选 Comodo |
48
Quaintjade 2016-11-02 20:37:29 +08:00 via Android
|
50
yexm0 2016-11-03 00:13:15 +08:00 via Android
@Vhc "For the abbreviation of Firefox, Mozilla prefers Fx or fx, though it is often abbreviated as FF."
叫它做 ff 其实也没啥问题。 |
52
nvidiaAMD980X 2016-11-03 01:55:34 +08:00 via Android
楼主,贵司花钱买一个 SSL 证书这么难吗?居然还从 Wosign 转到 StartCom, 这等于没变啊!
花钱上 Symantec EV ,保证高大上! |
53
nvidiaAMD980X 2016-11-03 01:59:19 +08:00 via Android
@mooncakejs 是的, 360 就是乱了规矩!恶行累累。反正我都把 360 的数字签名拉黑了,家里的 PC 再也不用担心误装 360 了!
|
54
woocean 2016-11-03 03:45:34 +08:00 via Android
ssl.do 又不算是多便宜,除了域名也不会给人很靠谱的感觉。虽然 ssl 证书各家应该没差。
gogetssl 确实价格不错。 let't en 在某些手机端不大行。多刷新几次才可以。 如果只是 DV 的话腾讯云可以免费申请, GeoTrust 的吧,我和朋友都觉得速度比 comodo 快一些哦! |
57
initialdp 2016-11-03 08:19:32 +08:00
这种情况下,我总是愿意安利一下 LetsEncrypt ,免费又好用!个人网站、企业网站都能用,帮客户也安装了很多,自动脚本续签,非常放心。
世界如此美好,何必纠结在这些浪费时间的事情上? |
58
yylzcom 2016-11-03 08:33:52 +08:00 2
能说上政治阴谋的我服, CA 体系本身就是一个建立在 CA 机构本身信用上的体系,一旦 CA 签发机构失去了权威性,这个体系就毫无意义。所以这种乱搞的一定要被封杀,不然要个证书有鸟用?
其实上想坑国人的就是沃通,他们明确在帖子里要求上述几个组织信任在中国市场使用的证书(洋大人我不敢坑你们,我们伪造只坑中国的傻逼网民),就这样还有为沃通洗的(原文: https://www.v2ex.com/t/309184?p=1#r_3597970 ) 我服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服服!!! |
59
yylzcom 2016-11-03 08:38:06 +08:00
还有 360 浏览器也该死,默认设置证书错误的情况下不弹出错误提示,直接写 cookies !!!!这样还要证书干嘛?!
|
60
huijiewei 2016-11-03 09:43:55 +08:00 via iPhone 1
五毛现在都不培训了吗
什么该洗什么洗不了不出个章程吗 |
61
bilok 2016-11-03 10:30:51 +08:00 via iPhone
@mooncakejs themeforest.net 目前用的就是 lets encrypt 它不是商业网站?
|
62
mooncakejs 2016-11-03 10:31:55 +08:00
@yylzcom ca 体系是谁建立的? 后来者进入容易吗?谁负责考核? ca 对谁负责,对网民负责还是对股东负责? v2 有一种错觉,西方公司比中方公司可靠,甚至比中国政府可靠。
|
63
mooncakejs 2016-11-03 10:34:02 +08:00
@bilok 你的意思是公司域名都是一年一年续费的?公司要的是稳定性, lets 目前只有 3 个月,自动续签失效怎么办
|
64
yylzcom 2016-11-03 10:40:14 +08:00 2
@mooncakejs 就是论事,这件事情上沃通做得明显不对,这也还能洗?沃通都签发证书那么久了,什么叫进入容易?他自己不作死能 revoke 他?
这件事情是你自己扯上政治和政府的,还有西方和中方公司的,我只单纯针对沃通本身。这个帖子里从头至尾只有你一个人有政治倾向 |
65
woocean 2016-11-03 10:40:15 +08:00 via Android
|
66
wd85318 2016-11-03 10:49:40 +08:00 1
|
67
mooncakejs 2016-11-03 11:06:10 +08:00
@wd85318 证明你毕业还没多少年。
公司政府都是一种组织。公司这种组织方式制度上就没有 zf 可靠,它成立的初衷就是为了赚钱,你只要记住一句话”公司只需要对股东负责“,现在看起来”可靠“无法就是利益选择,该背叛用户的时候绝不会留情, 欧美公司棱镜门还没告诉你吗。 至于 ”你国公司“ ,估计你说的是百度之类的,你说对 你(普通用户)负责还是对它的股东负责(赚钱)。 |
68
yylzcom 2016-11-03 11:09:21 +08:00 1
@wd85318 别被他带偏了,这种人就没有丝毫逻辑可言。这事沃通被撤无可争辩,于情于理都是要被撤的,他非要弄“政治,东西方公司差异,公司政府差异”来给沃通洗,明眼人一眼就能看出来
|
69
mooncakejs 2016-11-03 11:11:44 +08:00
@yylzcom 政治问题不一定非得 中国政府,美国政府这种政治。商业行为合众连横也算得上一种政治,就事论事的潜含义就是”我们都认同了《 ca 体系》的规则,以至于沃通不合规矩就要被 revoke ”,但是你跳出圈外看这个问题,
互联网一直以开放自由,甚至无政府主义的价值观为导向。 ca 这个角色,为什么由现在那几家担任,规则为什么由他们书写,以至于后来者都需要买他们的服务来交保护费。 |
70
mooncakejs 2016-11-03 11:13:37 +08:00
@nvidiaAMD980X 你要看规矩是谁定的,对谁比较有好处,遵守它还是打破它比较有好处,是有 360 搅局还是没有 360 搅局,各大巨头闷声发大财比较好
|
71
sutra 2016-11-03 11:23:30 +08:00
@mooncakejs 所以它的建议是 2 个月的时候续签。
|
72
yylzcom 2016-11-03 11:25:04 +08:00 1
@mooncakejs 关于你说的后来者进入问题,沃通经签发了那么久的证书了,还不算进入?有谁设置障碍阻止他进入了?他被撤销完全是因为他不符合这一要求, mozilla 和 google 都有把详细说明发出来;阴谋论,政治论都是你没有任何证据的臆测,你拿这样的臆测来和别人有 hard evidence 的观点来辩论?
|
73
yylzcom 2016-11-03 11:31:17 +08:00
@mooncakejs 自动续签失效不会写个脚本监控继续尝试续签或者通知 admin ?说得好像手动续签一定比脚本自动续签还要可靠一样。
稳定性和” 3 个月的期限“有任何必然关系?要稳定性,沃通这种伪造证书的机构无从谈起吧 |
74
mooncakejs 2016-11-03 11:48:30 +08:00
@yylzcom 你要从商业角度想这个 3 个月问题, 购买证书本质上是一份合约,不管免费不免费。 3 个月有效 != 3 个月后可以无效续签,而是这份合约有效期只有 3 个月, 3 个月后的事情谁都不知道,签 2 年就说明 2 年内都可以用。
|
75
mooncakejs 2016-11-03 11:55:14 +08:00
@yylzcom 沃通卖自有证书其实没几年,中国才出了一家,你说难不难。
我都说自己是“阴谋论”了,本质上就是一个分析而已,不代表事实。沃通我不关心,我只是看到潜在的问题是 “现有的几家 ca 机构已经不满足日益增长的 https 需求了,作为大户应该放一点蛋糕出来了” |
76
tao1991123 2016-11-03 12:00:19 +08:00
@mooncakejs 别给沃通贴金 你就无视 CFCA?
|
77
mooncakejs 2016-11-03 12:07:11 +08:00 via iPhone
@tao1991123 感谢指证
|
78
huijiewei 2016-11-03 12:09:15 +08:00 2
In our policy newsgroup, WoSign proposed that an appropriate response to this list of issues (or the subset of them known at the time they made their proposal, which did not include any of the SHA-1 backdating information) would be to constrain them to issuing in the China market only in future. However, we don ’ t feel that Mozilla ’ s users in China have lower requirements for CA trustworthiness than Mozilla ’ s users elsewhere.
只能说呵呵! |
79
hyyou2010 2016-11-03 12:18:20 +08:00
CA 的可信度很大程度来自: 1 、公开, 2 、长年累月积累的信誉。某国政府及某国公司没这两个元素,自然不被信任,这和谁定的规矩无关。如果规矩不够完善是另外一个话题,但无论如何重定规矩,没有信誉的政府和公司都没份,都应该被踢出去。把民族情绪拿来支撑这样无信誉的行为只能说明这种情绪很愚昧而且毫无价值。
|
80
cst4you 2016-11-03 13:23:37 +08:00
4 个字: 活他妈该
|
81
wd85318 2016-11-03 13:28:28 +08:00
@mooncakejs
又开始扯那套丛林法则啦?啧啧,不亏是丛林法则下教育出来的,只适合非洲大草原,不适合文明社会 |
82
lovedebug 2016-11-03 13:33:15 +08:00
我能说 CA 组织不是你想进就能进的吗?不花钱花关系就是做梦好不?
已有的组织成员都会想方设法阻止新玩家的~~ |
83
lovedebug 2016-11-03 13:35:56 +08:00
@yylzcom CA 组织比较大,而且每个浏览器厂商例如 firefox 也有自己的内置 truststore ,而微软和 chrome 则用 os 系统的。加入 CA 组织可以强制要求组织内的几大浏览器支持自己的 CA ,但是也有加入 firefox CA 而没有加入 CA 组织的情况。
|
84
lovedebug 2016-11-03 13:38:05 +08:00
还有 CA 组织每年都会搞一些新条例,这些新条例有些看起来是维护安全的名义,实际上为了玩死一些小 CA 。。。 而且很多根 CA 其实都被大厂在后面买断了,表面是一堆品牌,看不出来而已。
|
85
lovedebug 2016-11-03 13:41:38 +08:00
@hyyou2010 这只是一方面,其实确实是不希望中国有公司加入 CA 组织而已。 CA 组织内出国事的不止一家,忘记是 Verisign 还是 Entrust 乱签 google 被内部通报和谷歌发现都没被踢出去。中国政府想加入也只能偷偷买外国小 CA ,被发现就是踢出去。
|
86
honeycomb 2016-11-03 14:29:42 +08:00 via Android 1
|
87
stneng 2016-11-03 14:45:26 +08:00 1
@honeycomb verisign 并不是 Symantec 的子公司,只是认证服务被卖给 Symantec 了而已。
|
88
hyyou2010 2016-11-04 00:18:05 +08:00
哈哈,洗地总是最终洗成这样: 1 、西方忘我之心不死, 2 、别人也作恶过,凭什么就踢我。
|
89
Quaintjade 2016-11-04 09:26:31 +08:00 1
@lovedebug
Symantec (Verisign) 签过错误域名的测试证书,但因为无法证明是公司层面的故意行为,所以没有被整个干掉,但记得被干掉了一个根证书。 你说 Verisign 是 Too big to fail 我同意,但你说中西方差别对待那就错了。因为之后 Wosign 也发生过几乎相同的事件,但同样也没有被踢出去。 这次被踢是因为*故意*倒填日期,而且 EV 根没被踢。 |
90
lovedebug 2016-11-04 10:10:47 +08:00
@Quaintjade 这次也是 wosign 作死。不过中西方区别对待在 CA 组织中是真的有- -
|
91
lovedebug 2016-11-04 10:14:19 +08:00
@hyyou2010 话不是这么讲的。而是 CA 组织搞双重标准受不了。老外的几个大 CA 厂商出事严重多了也没搞得太惨。
|
92
lovedebug 2016-11-04 10:15:39 +08:00
@hyyou2010 可能你不了解内情吧。 忘了那家公司还给 CA 组织发道歉信说是测试不小心搞出去的。。。然后就信了。
|
93
hyyou2010 2016-11-04 13:24:17 +08:00
@lovedebug 哈,你了解内情?我的确不了解内情,因为这些事情就应该从公开的渠道去看。了解内情的你洗地半天也没拿出一样像个样子的干货,除了臆想的阴谋论。
|
94
lovedebug 2016-11-04 13:48:28 +08:00
@hyyou2010 。。。我有洗么? 只是说了下 CA 内部的情况而已。公开渠道是 CA 组织发布的, CA 组织内部有自己的讨论组。 我的意见是 wosign 自己作死,也别把 CA 组织想的多高尚。利益相关。
|
95
Quaintjade 2016-11-04 15:37:31 +08:00 1
@lovedebug
不知道你所谓的内情是哪里来的?你说的严重出事又是什么?错发测试证书在没有造成严重后果情况下,本来就不会有严厉惩罚,沃通以前犯错也是一样没什么惩罚。 我已经说了很多遍了, Wosign 这次是因为被证明*故意*才被取消信任。 Wosign 开始辩解说是程序错误,但 Mozilla 从逻辑上反驳了 Wosign 的说法,证明是其主观签发的。 换句话说,如果 Wosign 给的解释, Mozilla 无法证明它在撒谎,那么也拿 Wosign 没办法。 |
96
lovedebug 2016-11-04 16:16:03 +08:00
@Quaintjade 内情是利益相关~~ 做 CA 的。同意你的 wosign 作死的看法。我也说了 CA 组织内部的情况作为补充。
|
97
Quaintjade 2016-11-04 17:54:48 +08:00
@lovedebug
并不知道 CA 组织内部还有什么讨论组,如果有的话又有些谁。 事实上,像这次 wosign 一部分讨论是发在 Google Groups 和 Bugzilla (初步解释),另一部分是邮件完成的(详细报告)。 经常发难的一般都是浏览器方,主要就 Google 和 Mozilla ,一般发上面两个地方,这是公开的。如果内部组不包括 G/M ,那也没什么用;如果包括 G/M ,我不知道为啥这两家会有那么闲。 |
98
lovedebug 2016-11-07 10:19:47 +08:00
@Quaintjade 内部是包括 G/M 的,有些会公开有些就是内部讨论了。一般 CA 是轮值主席,每年一次。
|
99
lovedebug 2016-11-07 10:26:00 +08:00
@Quaintjade CA 组织内根 ROOT 都在里面,当然并非全部的。加入这个组织比较困难。而加入 firefox 等自带 truststore 的会容易点。浏览器厂商作为执行者也在组织内部。
|
100
Khlieb 2016-11-08 21:46:07 +08:00 1
|