V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Radeon
V2EX  ›  SSL

用了一次 StartSSL 免费证书,觉得流程很简单(比 Let's Encrypt 简单)。不知道有什么长期使用上的坑?比如一年到期 renew 时有没有意外?

  •  
  •   Radeon · 2016-03-27 09:53:27 +08:00 · 5477 次点击
    这是一个创建于 3163 天前的主题,其中的信息可能已经有所发展或是发生改变。
    35 条回复    2016-03-28 09:53:29 +08:00
    VmuTargh
        1
    VmuTargh  
       2016-03-27 10:02:49 +08:00
    PKI 服务器在大数字机房, 自己斟酌
    Radeon
        2
    Radeon  
    OP
       2016-03-27 10:07:07 +08:00
    @VmuTargh 这有什么关系。签发证书你的私钥是不上传给 CA 的,实在不行换家 CA 签个新的
    shiji
        3
    shiji  
       2016-03-27 10:11:55 +08:00
    @VmuTargh 就算整个 CA 被端了,也是不能解密数据的。
    New2016
        4
    New2016  
       2016-03-27 10:14:59 +08:00 via iPhone
    已吊销根证书
    aofall
        5
    aofall  
       2016-03-27 10:15:03 +08:00 via iPhone   ❤️ 3
    @VmuTargh 在大数字机房又怎样 敢干坏事 就会像 CNNIC 一样被取消根证书信任
    还有, Let's encrypt 由国内的云片网络提供网络,你咋不提这个?
    https 是非对称加密,只要你私匙不泄漏,没什么问题。真要大动干戈的中间人攻击你,还不如直接爆破你的 vps
    oott123
        6
    oott123  
       2016-03-27 10:15:46 +08:00
    LE 是可以用脚本自动续期的啊,怎么也比 StartSSL 强一点吧。证书有效期短是好事,安全。
    a1058021348
        7
    a1058021348  
       2016-03-27 10:23:53 +08:00 via iPad   ❤️ 1
    @aofall 话说。。是私钥吧。。。

    以前我也误读私匙。。直到我写这个词的时候才发现。。。
    Andy1999
        8
    Andy1999  
       2016-03-27 10:24:17 +08:00 via iPhone
    @shiji
    @aofall 但我可以再签一个呀 然后实现 MITM
    VmuTargh
        9
    VmuTargh  
       2016-03-27 10:27:05 +08:00   ❤️ 3
    @shiji
    @aofall
    我自己站点也用 StartSSL, 之所以说这句是因为 v 站一大堆"被害妄想症", 不要到时发现"哦, 这丫居然是 360 的***"然后各种骂
    xuan880
        10
    xuan880  
       2016-03-27 10:28:23 +08:00
    @aofall 逢中必黑,逢共比反,这就叫做政治正确。至于有没有理,对不对,谁在乎。
    VmuTargh
        11
    VmuTargh  
       2016-03-27 10:28:33 +08:00   ❤️ 1
    @Radeon 我的建议是不要用 StartSSL 自己家的 CSR 生成工具, 这玩意还是自己本地 openssl 生成比较放心
    Radeon
        12
    Radeon  
    OP
       2016-03-27 10:31:14 +08:00
    @VmuTargh 是的,我就是本地的 Linux 机器上的 openssl 工具生成的 CSR 。一年到期 renew 时是怎么样?有没有问题?
    VmuTargh
        13
    VmuTargh  
       2016-03-27 10:38:02 +08:00   ❤️ 1
    @Radeon renew 应该没啥问题, StartSSL 在快到期的时候会发 email 提示你 renew 证书, 还有 Auth 证书记得备份, startssl 是通过证书登录的, 丢了比较麻烦
    aofall
        14
    aofall  
       2016-03-27 10:43:41 +08:00 via iPhone
    @Andy1999 然后被吊销根证书?不如查水表来得方便,而且还要啥有啥
    还有 你被降权了 收不到你的回复提醒
    @a1058021348 感谢提醒……
    @xuan880 也是够了 不予评价
    @VmuTargh 我还用 Wosign+LE 呢 StartSSL 的认证不知道为什么一直过不去
    VmuTargh
        15
    VmuTargh  
       2016-03-27 10:47:48 +08:00
    @aofall 认证过不去...... 卡在邮箱验证了吧, 某些邮箱收不了 startssl 邮件也是醉了
    Radeon
        16
    Radeon  
    OP
       2016-03-27 10:57:00 +08:00
    @aofallqq.com 的邮箱可以轻松收信
    DesignerSkyline
        17
    DesignerSkyline  
       2016-03-27 10:58:38 +08:00   ❤️ 1
    @aofall 云片只是赞助而已
    SoloCompany
        18
    SoloCompany  
       2016-03-27 11:16:35 +08:00 via iPhone   ❤️ 1
    不要用 QQ
    不要用微信
    手动吊销 cnnic 根证书
    手动吊销 startssl 根证书



    还有吗?
    Slienc7
        19
    Slienc7  
       2016-03-27 11:24:33 +08:00 via Android   ❤️ 2
    @aofall 收不到提醒也可能只是臨時抽風或者你自己被降權。


    StartSSL 除了會“隨機”觸發延遲簽發(告知你需要等幾小時到幾個工作日不等以備他們人工審核然後再給你簽),以及週末例行維護不簽證書之外,應該沒什麼坑了。
    wdlth
        20
    wdlth  
       2016-03-27 11:38:25 +08:00   ❤️ 1
    StartSSL 的 CRL 、 OCSP 等服务在国内是解析到 WoSign 的服务器,还不是为了国内的初级阶段网络环境访问方便。难道像以前 EdgeCast 被污染, DigiCert 、 Mozilla 、 WordPress 等网站遭殃,就好过了?
    GlobalSign 还用百度云减速呢,难道也去吊销根证书?
    这里还用的 TrustAsia ,是不是也要吊销中级证书?
    clanned
        21
    clanned  
       2016-03-27 11:57:09 +08:00 via Android   ❤️ 1
    techmoe
        22
    techmoe  
       2016-03-27 12:21:10 +08:00
    我不是很懂,如果真要是 startssl 归 360 了那某些人搞审查是不是就容易了
    DesignerSkyline
        23
    DesignerSkyline  
       2016-03-27 13:13:41 +08:00
    主要是使用 StartSSL 免费证书的网站有被墙的黑历史,所以最好是选择基数比较大(现在已经颁发了 140 万个左右了)的 Let's Encrypt 比较保险
    usedname
        24
    usedname  
       2016-03-27 13:27:36 +08:00
    要再发一个邮件重签,没有续费的概念吧,所以我买了个便宜的 comodo
    Cu635
        25
    Cu635  
       2016-03-27 13:59:58 +08:00   ❤️ 1
    @xuan880
    在网络监管这个问题上上,“逢中必黑,逢共比反”这些人恰恰和床破一样,他们是在说大实话而已,你这种人却是蔡桓公。

    在其它领域不一定了,得具体问题具体分析。
    SoloCompany
        26
    SoloCompany  
       2016-03-27 14:38:00 +08:00
    @Cu635 如果是民逗圈的说这些话不奇怪,因为那里很多人不长脑子,但这里是技术圈,也是随便可以忽悠的吗。现在说的是站长立场,如果作为个人用户立场,你爱注销什么根证书就注销,和别人没关系,访问不了网站是你自己的事情,你建站不用 A 证书而是用了你自己认为更有公信力的 B 证书,并且把 A 的 CA 给拉黑了,难不成你可以让你所有用户都把 A 的 CA 拉黑不成?否则说 MIT 攻击的,难不成 A 的 CA 伪造签发了你站点的根证书,你的用户就都能察觉了?
    alect
        27
    alect  
       2016-03-27 14:39:39 +08:00
    楼上的说什么国内的不能用的都够了。。你们那么牛逼咋不飞呢
    BOYPT
        28
    BOYPT  
       2016-03-27 17:59:09 +08:00   ❤️ 2
    所以这楼里的鄙视链:

    [注销根证书] BS [不注销根证书的]

    [用 LE 的] BS [用 StartSSL 的]
    Laforet
        29
    Laforet  
       2016-03-27 19:03:49 +08:00
    StartSSL 免费的最大黑点不是改签或者吊销要收钱吗?
    Cu635
        30
    Cu635  
       2016-03-27 20:26:22 +08:00
    @SoloCompany

    正是因为这里是技术圈,难道不应该对那些阻碍技术发展的监管措施深恶痛绝么?

    如果是既得利益者,自然会维护现行监管制度了啊。
    SoloCompany
        31
    SoloCompany  
       2016-03-27 21:13:47 +08:00 via iPhone
    @Cu635 既然是自诩技术人的,能有一码事说一码事么,说的明明是签发证书的问题,和网络监管有半毛钱关系么,怕有人不理解那么我也放论证了,神展开很有意思么,不是每个人都喜欢什么都往政治正确上扯的
    lightening
        32
    lightening  
       2016-03-27 21:31:19 +08:00   ❤️ 1
    个人用没什么问题的。

    Let's Encrypt 主要优势在于自动化。个人就一个站点,一年 renew 一次,不自动化也无所谓。如果你有需要管理 100 个域名的 SSL 证书, LE 的优势就出来了。
    Cu635
        33
    Cu635  
       2016-03-27 21:51:33 +08:00
    @SoloCompany
    刚看请你不是 xuan880 ……

    我是在回复 xuan880 的“逢中必黑,逢共比反”那一条,没有在回复 lz 。
    TankyWoo
        34
    TankyWoo  
       2016-03-27 22:47:04 +08:00   ❤️ 1
    let's encrypt 有些复杂了,第一次折腾得花一些时间。

    startssl 门槛简单多了

    不过如今免费 ssl 证书也没啥可选了,就上面两个还行
    zingl
        35
    zingl  
       2016-03-28 09:53:29 +08:00   ❤️ 1
    域名稍微有点“象”商业用途的就不给你签
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2859 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 09:23 · PVG 17:23 · LAX 01:23 · JFK 04:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.