页面超简洁，签发很快很顺利

http://i.imgur.com/O9sjxjv.png

http://i.imgur.com/xww0dmt.png

http://i.imgur.com/pamZkNl.png

http://i.imgur.com/IC1QCol.png

证书里有一个certificate basic constraint（基本约束）字段，会注明该证书的Subject Type是CA还是End entity，CA可以签下级证书，End entity不能签其他证书。
同时会注明CA的Path Length Constraint，限制往下能签发多少层CA，0表示不能签发CA，只能签发end entity。

以v2ex的证书为例，左边是站点证书，中间是GD中级CA证书，右边是GD根CA证书
http://image16.poco.cn/mypoco/myphoto/20141012/13/5657397520141012135335020.png

在S40上用jar版的表示淡定，扫一扫都没有。。。

我所知道的是Fetch as Google工具，据说速度几分钟~一天不等，但一般来说比sitemap快，毕竟是主动vs被动。
不过一周只有500次额度，而且似乎没有批量运行功能，我不确定v2ex是不是用了这个。
https://support.google.com/webmasters/answer/6066467?hl=en

建议用子目录形式，而不是多级域名的形式，因为即使是泛域名证书也不支持多级域名。
配置可以参考 https://jude.me/2014/10/04/twitter-mirror-2.html

装第三方的ca证书是危险的行为，应该尽可能考虑替代方法，尽管你可能并无恶意。

@whywhywhy 呵呵，早就知道你不会block，随便钓一下果然就把你钓出来，还死要面子装成故意，真是逗。
胡搅蛮缠的你自动滚粗吧，不过看你嘴上说着不回，待会儿大概又屁颠屁颠跑来回复了。

要么是防火墙禁了GRE，要么是路由器不支持GRE,这种路由器还不少。

桑给巴尔 至 全国 。。。

既然要去美国读书，这点都是小钱了。自费读的应该负担得起；拼奖学金的更没压力了。

@imn1 要敲章的，打印无效。

@whywhywhy 哈，你继续胡搅蛮缠好了。
作恶一次就够本的意思是被抓到也无所谓？脑洞真大。我只是在说没必要再做第二次而已，所以你说的必然不再受信任就是错的，因为你是基于会伪造很多次的基础上。

你下一段又是打稻草人和列极端情况，除了这你还会啥？

这得强制签SHA-2的吧。
有效期到2017年之后的SHA-1，预计今年末chrome(39)就有警告，然后逐步增强。2017年后MS和Firefox都不支持了，签到2018年也没啥意义。

@pimin 百度地址加密貌似出现在和360搜索pk的时候，百度称360蜘蛛盗用它的搜索结果。

地址加密对用户又没什么影响，Google的结果也是经过跳转的。

@whywhywhy 已block。

本来就是为了指出你错误的观点，你却一而再再而三无视、扭曲我的观点和论据。
就像你这贴又提出一个扭曲的观点，说我是在预测。事实上我并未作出预测，又是你脑补的产物。

你一直在用稻草人论证来无理取闹罢了。

@julyclyde 说错了。不是IP，是number of servers

技术上无法限制，但为了多赚钱，有CA会从条款上限制server license的数量（实际如何限制就不清楚了）。

https://www.gogetssl.com/extended-validation/symantec-securesite-pro-ev-ssl/
http://security.stackexchange.com/questions/54442/how-can-ssl-vendors-limit-the-amount-of-servers-they-can-be-installed-on

@whywhywhy
1. 你说得很肯定，我说不一定，而且不是钻牛角尖极端情况的不一定，为什么不能争了？

2. 你到现在都还没看懂我说的是什么。都说了，实际根本没人支付这笔钱，反咬的借口而已。

3. Microsoft Enforced Licensing Intermediate PCA certificate authority
http://en.wikipedia.org/wiki/Flame_%28malware%29

4. 成本风险动机我都讨论过了，你始终无视，只会用“任何XXX都不能XXX”来回复。

5. 成本=被撤销的代价*被撤销的概率，你始终在盲目夸大成本。然后还无视（或者理解不了）我说的非重大价值可以累积成重大价值这一点。

你自始自终都沉浸在自己的妄想中，无视和扭曲别人的观点和论证。

@whywhywhy 于是你又把论点退缩到了 一次有可能、多次不可能，事实上我想说的就是一次有可能。一次就够本了。

事实上我自始自终都没有提出过是否应该删除CNNIC或沃通，最初我回这个帖子只是针对你说的“谁敢拿自己的来造假证书，很快就会被封杀，被取消信任，只要被抓一次就惨了”，你说我要删证书又是由何而来？

只能说你从头到尾都没有看懂我到底在讨论什么，就在这里疯狂的争辩。

@whywhywhy
你果然开始转移话题、撤退到第二条防线了，从讨论CA是否会伪造证书这个话题移开，退而辩论即使监视也没什么大不了的。

针对你试图移开的那个话题：

风险是一种成本没错，但之前你认为CA资格被吊销几乎是100%，而我告诉你这种概率并不高，而且接下去几年随着SHA-1变脆弱而会越来越低。这样一来，成本就可以低于收益，CA自发或受迫签发伪证书就有可能，而且越来越高，直到系统和浏览器彻底拒绝SHA-1。自己同时承担收益和成本的商业公司，这种可能性依然很低；成本（风险）由公司承担，收益由其他组织承担，并通过“不配合时的负收益”这层联系来强迫，可能性就大得多；如果成本收益都由非商业的组织承担，且这个组织有足够的理由反咬别人碰撞Hash，那可能性就更大。

我一直在强调这种可能性的现实合理性，你却一味地举极端情况的例子（任何XX都不能XXX，所以XXX），这对辩论毫无帮助。


针对你撤退到的新防线：

第一，“别人去查肯定是查坏人”这是多天真的想法啊。去查的是认为需要查的人，主要是与自己意见不一致的人，坏人自然包括其中，但比坏人的包含范围大得多。当然，如果你把所有被查的都定义为坏人那就没啥好说的了。

第二，ZF插手的事一定是国家级别的事？你又在错误扩大概念了。一系列人或事叠加在一起是重大的，重大到ZF有理由签发假证书，但其中的涉及的人或事未必是重大的，甚至其中大多数的人可能是渺小的，渺小到普通人有意无意就牵涉其中。由于ZF并不会明确说明界线在哪里（一贯如此），所以有意无意牵涉到是很可能的。

第三，可查又如何。是的，我并不担心ZF查我各种资料，也不担心企鹅能查我所有的聊天记录，因为查的人与接触到的数据都可预见。但如果证书被伪造，那么数据与接触数据的人的可预见性就大大降低。例如ZF把破解的证书架设在第三方（很可能是个半官半商机构）服务器上，那么这个第三方就能趁机获取它本应无法接触的数据。
别总是摆出一副隐私算个屁的样子，这像说反正内裤被看过了，干脆裸奔吧。企鹅能看QQ聊天记录无所谓，企鹅能看你档案你愿意吗？