1
hjc4869 2016-10-03 21:29:32 +08:00
Apple 那边是 wosign 的免费证书, Mozilla 是全部。其它的还没表态。
|
2
DoraJDJ 2016-10-03 21:49:52 +08:00
昨天成功安利一位基友换成 Let's encrypt 证书的表示继续看大戏
|
3
MinonHeart 2016-10-03 22:13:48 +08:00 via iPhone
腾讯云可以签一年期免费的证书
|
4
nfroot 2016-10-03 22:16:11 +08:00
@MinonHeart 需要用腾讯云的主机吗?是一直免费一年,还是仅仅免费第一年
|
5
binux 2016-10-03 22:16:19 +08:00
反正 V2EX 都不屑于使用 WoSign 的 SSL 的。
|
8
ELIOTT 2016-10-04 00:26:21 +08:00 via Android
StartSSL 沒有暫停
|
9
tSQghkfhTtQt9mtd 2016-10-04 00:28:27 +08:00 via Android
被 HPKP 坑了一把,有一个子域还换不了证书,只能期待 StartSSL 不被吊销那么快了
30 天。。。 |
10
manihome 2016-10-04 00:30:37 +08:00
刚给网站上了 Let's encrypt
|
11
ovear 2016-10-04 00:31:16 +08:00
Mozilla :计划通
|
12
tension 2016-10-04 00:34:10 +08:00
今天刚上了 RapidSSL
|
13
zrj766 2016-10-04 00:34:36 +08:00 via Android
GeoTrust 路过
|
14
hjc4869 2016-10-04 02:53:50 +08:00
@liwanglin12 旧证书不会失效
|
15
davidyin 2016-10-04 05:43:00 +08:00
唯一的一张 startssl 证书已经换了 Comodo 的了。
|
16
hotbaidu 2016-10-04 09:15:27 +08:00
StartSSL 的的 DV SSL Certificate 依然可以签发,目前没有选项不可用的问题啊...
|
17
tSQghkfhTtQt9mtd 2016-10-04 10:26:45 +08:00 via Android
@hjc4869 我记得说是吊销今年内啊?
|
18
lhbc 2016-10-04 10:44:37 +08:00 via iPhone
@liwanglin12 我觉得都要用 HPKP 了,就别省那点钱,买个大品牌的证书。
|
19
nvidiaAMD980X 2016-10-04 13:39:38 +08:00 via Android
自作孽,不可活
|
20
Shura 2016-10-04 14:30:19 +08:00 via Android
反正我的证书还能正常使用,一次签三年果然很方便。
|
21
sunflyer OP @hotbaidu
@ELIOTT 好吧。。。我才发现是因为我做了 Class 2 验证。。。 = = DV 是可以的。 但是这个也蛮蛋疼的了。 @liwanglin12 你算好的了。。。我 HPKP 设置的三个月。。。。这会儿只有强行换了 |
22
Quaintjade 2016-10-04 15:09:33 +08:00 via Android
@MinonHeart
腾讯云的证书,不能自己提交 CSR ,不能吊销(联系客服都不能吊销),黑到死的节奏。 |
23
tadtung 2016-10-04 15:38:12 +08:00 via Android
其他免费没问题,毕竟 wosign 是 360 家的。
|
24
jasontse 2016-10-04 15:44:33 +08:00 via iPad
|
25
tSQghkfhTtQt9mtd 2016-10-04 15:53:41 +08:00
@jasontse 我突然觉得我换个鸡毛啊……
|
27
lslqtz 2016-10-04 21:35:17 +08:00
@liwanglin12 verisign 腾讯云大法好
|
28
Quaintjade 2016-10-04 22:25:06 +08:00 via Android
@lslqtz
然而腾讯云不能自己提交 CSR ,不能吊销。 |
29
lslqtz 2016-10-04 23:15:15 +08:00
@Quaintjade 我就问个问题 除了 ecc csr 有什么用?
吊销?? |
30
lslqtz 2016-10-04 23:16:16 +08:00
@MinonHeart 不用鸟他 有赛门铁克的免费证书还埋怨。。
|
31
Quaintjade 2016-10-05 01:49:27 +08:00 2
@lslqtz
如果签发机构留存你的私钥并利用(或有意无意泄露被他人利用),那么可以利用已签发的证书+私钥来做中间人攻击而不被察觉。如果只有 CSR 而没有私钥,那即使想做中间人攻击也只能签发另一张证书,而这张证书的指纹与签发给你的那张不同,是可以被察觉和留作揭发证据的。 而且腾讯云的证书+私钥是直接从腾讯服务器领取的哦,不是从 Symantec/TrustAsia 的服务器上领取的。 你不小心把自己私钥泄露了,却无法吊销这张证书,那不是很尴尬吗?就像丢了身份证在技术上无法阻止捡到的人继续使用,这个傻缺设计已经被吐槽 N 久了。 另外,虽然 IE 和 Edge 显示的是由 Verisign 认证, Firefox 显示的只是 TrustAsia 认证,因为中间证书的签发组织 O=TrustAsia Technologies, Inc. 相比之下,人家 AlphaSSL 虽然也是子品牌,显示的认证信息却是 GlobalSign nv-sa 说白了就是张免费证书,有什么优越感? |
32
lslqtz 2016-10-05 01:52:49 +08:00
@Quaintjade
那又咋样呢,说白了他就是比其他证书好,上级有 verisign 其他证书覆盖不到的它照样覆盖得到。 再其次,腾讯云有 GeoTrust , Firefox 会直接显示为 GeoTrust Inc. 说白了,如果证书和私钥有那么容易泄露就好了,天天捡谷歌证书。小博客会被中间人?大博客还用什么免费证书。 自己把私钥泄露了也可以提交工单吊销证书,没什么不可以的,只是不开放功能而已。 |
33
Quaintjade 2016-10-05 02:10:29 +08:00
@lslqtz
这个叫做“亚洲诚信 TrustAsia ”的中间 CA 并不是 Symantec(verisign)的子公司或经销商,而是 Symantec 的客户。 http://www.symantec.com/resources/customer_success/detail.jsp?cid=trustasia http://www.tianyancha.com/company/2311101899 哦对了,只能签发二级域名证书,当然这不是黑点,因为本意是给 CDN 使用的。 |
34
lslqtz 2016-10-05 02:24:09 +08:00
@Quaintjade www 包含裸域。
|
35
lslqtz 2016-10-05 02:24:53 +08:00
@Quaintjade 以及,就算是客户,也是 verisign 的证书信任级别的。
|
36
Quaintjade 2016-10-05 02:25:11 +08:00
@lslqtz
第一,就为了覆盖那百分之几还是百分之零点几的用户么? 第二,不太清楚 GeoTrust 是怎样申请的,或者说是腾讯的 CDN 吗?反正申请的 Verisign 根的证书并没有 GeoTrust 交叉根, Firefox 显示就是 TrustAsia 。 第三,这是机制本身的薄弱环节,不要用实际上几乎不会发生来反驳。 第四,我还真试过提交工单,结果回复说目前无法吊销: http://p1.bpimg.com/1949/aa6b9ec1c00ea457.png |
37
Quaintjade 2016-10-05 02:29:50 +08:00
@lslqtz
www 包含裸域这倒是不知道,会试试看。 |
38
bilok 2016-10-05 11:19:44 +08:00 via iPhone
@Quaintjade 确实包含 昨天刚签
|
39
lslqtz 2016-10-05 22:14:10 +08:00
|
40
namebus 2016-10-07 18:08:49 +08:00
@Quaintjade 点击进去看那个 PDF 文档说明,这个“亚洲诚信 TrustAsia ”应该是 symantec(verisign)在亚太区的合作伙伴:
http://www.symantec.com/content/en/us/enterprise/customer_successes/trustasia-cs-en-us.pdf 你发出的那个 Symantec 链接是 Symantec Customer Success ,经销商 /合作伙伴也是客户的一种,好像是 symantec(verisign)在介绍 TrustAsia 的服务。 总的来说, symantec 虽然收购了 verisign,但毕竟这个品牌还是全球大公司(包含国内大公司)的首选, Google 也是用的它们家的 geotrust root ,而这个“亚洲诚信 TrustAsia ”怎么着还是使用的最有价值的 verisign root ,应该比 geotrust 的要好,所以知足吧,只是不知道以后会不会收费,感觉这玩意不像永久免费的。 |
41
Quaintjade 2016-10-07 19:10:41 +08:00
@namebus
PDF 主要介绍的是 Symantec 的 Symantec Ready Issuance 如何帮助 TrustAsia 更好地为它自己的客户提供服务。 Symantec 与 TrustAsia 的 Partner 本质上就是供应商与客户这种生意伙伴关系,只不过因为 PKI 体系的原因以及 TrustAsia 目前是亚太区首个二级 CA 的关系,所以更紧密一些罢了。 这与其他证书经销商最显著的一个区别在于: * TrustAsia 的客户完全只与 TrustAsia 直接打交道,证书也是从 TrustAsia(或者其客户)而非 Symantec/Verisign 签发和获取的; * 其他像 AlphaSSL , PositiveSSL 的经销商仅仅是拉客户,最终还是在 GlobalSign 和 Comodo 那里验证和取得证书的。 实际上 DV (Class 1)级别的证书,除了老客户端支持率有零点几到几个百分点的差别之外,实际价值并没太大差别,尤其是 Symantec 签过几百张有问题的和几千张可能有问题的测试证书之后。 |
42
Quaintjade 2016-10-07 19:18:22 +08:00
|
43
namebus 2016-10-07 23:16:35 +08:00 1
@Quaintjade 在 Symantec 官方网站搜索了一下,找到下面这个链接,应该都是经销商:
https://www.symantec.com/zh/cn/page.jsp?id=ssl-partner-sales 看样子是 Symantec 和 TrustAsia 的合作更紧密一些,你说的那个亚太区的二级 CA 可能和这个新闻有关: https://www.symantec.com/zh/cn/about/news/release/article.jsp?prid=20160622_01 |
44
lslqtz 2016-10-14 08:03:20 +08:00
@namebus TrustAsia 是赛门铁克的一个经销商,有一个中级证书而已。
至于赛门铁克比 GeoTrust 好我不赞同,我觉得都差不多,但是实际上, Windows 中中级证书的存储里有 GeoTrust 的中级证书,而没有 TrustAsia 的。 |
45
namebus 2016-10-14 15:33:00 +08:00
@lslqtz 我说的好是指市场的认可和品牌的定位, Symantec 目前是 CA 行业的老大, GeoTrust 是 Symantec 旗下的品牌。
Windows 默认是没有任何的中级证书的,只有你访问了对应的网站,查看了证书链,中级证书就会自动下载到你的 Windows 中级存储区里。 |
47
namebus 2016-10-18 13:14:13 +08:00
@lslqtz 你这个肯定不是全新的系统,全新的系统是不会内置这么多中级证书的,当你访问的网站如果中级证书没有部署,系统就会从证书中的 AIA 地址自动下载回来。
|
49
ngloom 2016-12-30 11:02:28 +08:00
阿里云里有免费的赛门铁克证 DV SSL 书, 不支持通配符, 时限一年, 每个帐户上限 20 张.
|