太长不看版本:阿里云免费证书恢复正常签发,DigiCert 根证书,支持 Windows XP 等老旧客户端。
今天 12 月 8 号,DigiCert 新的证书签发系统貌似已经升级完成。阿里云和腾讯云的免费证书签发页面上的提醒都没有了。
12 月 1 号之前,除了阿里云之外,其他的 FreeSSL.org 、腾讯云、七牛云、又拍云等等免费证书的中级 CA 都是 TrustAsia (亚洲诚信,一家中国的 SSL 证书销售代理商。只有阿里云的免费证书是 Symantec 官方的 DV 中级 CA 签发的。
12 月 5 号,我就测试了 FreeSSL.org (偷跑版,按计划该是 7 号才能签),发现已经可以正常签发 DigiCert 根、TrustAsia 中级的免费证书了。原帖在: https://www.v2ex.com/t/412262。
其中就有人说这款新的免费证书不支持 Windows XP 等老旧客户端,虽然那个错误可能是因为我的测试站需要支持 SNI 才能正常访问,但是我在 MySSL 测试时也的确看到证书不兼容旧版的系统和浏览器。
那么阿里云呢?按理说之前就是 Symantec 官方中级 CA,现在应该变成 DigiCert 官方中级 CA 吧。而且阿里云的提示中也提到了会提升证书兼容性。我今天就去试着签了一张。果然,MySSL 测试时全部客户端都能正常兼容。
用的是 2006 年的 DigiCert 根证书,和今年 11 月末签发的名为 Encryption Everywhere 的 DigiCert 官方中级证书,非 TrustAsia。
而且,之前签发阿里云免费证书选择 DNS 验证时,需要在你的域名(比如 test.example.com )下添加一个 TXT 记录,如果那个域名原本有 CNAME 记录,再加 TXT 记录就会产生冲突。而腾讯云等 TrustAsia 系则是在 _dnsauth.test.example.com 下添加 TXT 记录,就没有上述问题。
现在更新后的阿里云免费证书 DNS 验证也是在 _dnsauth 子域名下(和 TrustAsia 系的验证方式一样)避免了上述麻烦。
综上,阿里云免费证书大概是目前最完美的单域名一年期免费 SSL 证书。
缺点:不同于 TrustAsia 系免费证书及旧版 Symantec DV 免费证书,没有嵌入 SCT 信息,Certificate Transparency 需要自己用 ct-submit 提交后通过 TLS extension 方式启用。详见 https://imququ.com/post/certificate-transparency.html
新阿里云免费证书测试站(需要客户端支持 SNI ): https://www.penbeat.cn/ ,支持 OCSP Stapling,未启用 HSTS,所以 SSL Labs 跑分应该是 A 没有 A+。
新 TrustAsia 系免费证书测试站(需要客户端支持 SNI ): https://www.minto.cc/ ,支持 OCSP Stapling,启用了 HSTS,所以 SSL Labs 跑分应该是 A+。
新阿里云免费证书长相:
现在阿里云官网还是不能购买免费证书,工单说:
“您好,现在免费版的证书在阿里云进行调整,需要等到 12 月 17 号才能购买。”
我是手上有十几个之前生成的未使用的免费证书订单,所以可以签……
又偷跑了一回…… 就算是提前测评一下吧。
1
wxcszh 2017-12-08 17:34:50 +08:00
阿里云的免费证书在哪里申请啊?
https://common-buy.aliyun.com/?spm=5176.2020520163.cas.1.3f5eef26slMlQW&commodityCode=cas#/buy 这里已经没有免费证书了 |
3
isCyan OP @wxcszh “您好,现在免费版的证书在阿里云进行调整,需要等到 12 月 17 号才能购买。” 又偷跑了一回…… 算是提前测评一下吧。
|
4
holulu 2017-12-08 18:31:37 +08:00
如果支持通配就更完美了,再加上全链 ECDSA 就更更完美了。
|
5
isCyan OP @holulu 那就准备迎接 2018 年的 Let's Encrypt 吧,其实 LE 是最方便的
|
6
xiaoz 2017-12-08 23:02:12 +08:00 via Android
global 那个野卡证书兼容性咋样
|
7
isCyan OP @xiaoz 是在 Namecheap 黑五买的 20 刀的 Comodo 野卡,兼容性很好。可是,我的证书是 ECC 的公钥,老旧客户端本身就不支持这个算法……
ECC/RSA 双证书的话,不知道 OCSP Stapling 和我用 Nginx 扩展开启的 Certificate Transparency 会不会出问题,还没试,就没搞。 其实我并不是很关心兼容性之类的,又不是企业网站,那些用 XP 的不考虑他们 |
9
isCyan OP @xiaoz
免费证书嘛,反正免费,能用一天是一天。不能用了再签别的。 我们这种没钱的个人用的话呢: 能用 LE 的话 LE 就很不错,明年 LE 出野卡; 需要用 CDN 的话,要手工上传证书很麻烦,有效期要长一些,就要考虑商业证书了: 野卡就选 Comodo/AlphaSSL 只要单域名的话就等 17 号的阿里云免费证书 /Comodo/AlphaSSL/RapidSSL/如果以后 TrustAsia 免费证书优化了兼容性也可以用 大的 CA 拿出来卖的商业证书都肯定兼容 XP 的。上面新的 TrustAsia 免费证书那种情况比较少的。 大的 CA 就那么几个: Comodo 以 PositiveSSL 廉价证书出名,代理商超级多,胡乱签发记录很多,有出信任危机的可能,能用一天是一天 Symantec 高大上,企业证书贵得上天,面向个人 DV 证书的品牌是 RapidSSL 当年也是不错选择,后来有了 TrustAsia 的免费证书,再后来就 GG 了 DigiCert 高大上,一直不卖个人用户。后来收购了 Symantec 的证书业务,前景不错 GlobalSign 信誉不错的公司,在国内以 AlphaSSL 免费野卡出名,OCSP 服务器竟然有中国大陆节点,域名有备案的国外 CA GoDaddy 穷,买不起 Let's Encrypt 白金赞助商里有 Mozilla 和 Google Chrome,还怕啥?最稳最方便的免费证书,毕竟不是商业 CA 只要不胡乱签发,即使服务几个钓鱼网站出信任危机的机会也不大。如果 CDN 或者服务器上搞好了自动续期就一劳永逸。缺点是有效期只有 3 个月,如果 CDN 不支持自动续期需要手工部署的话有点麻烦。 |
10
holulu 2017-12-09 09:11:52 +08:00 via iPad
DigiCert 有 DV 证书,个人可以买的,见过几个博客用过
不过还是 LE 好,明年还内嵌 SCT 国内好像就又拍 CDN 和 Coding Pages 用 LE |