V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Orzzzz
V2EX  ›  问与答

SSL 证书的疑问……

  •  
  •   Orzzzz · 2015-12-02 22:06:51 +08:00 · 1830 次点击
    这是一个创建于 3282 天前的主题,其中的信息可能已经有所发展或是发生改变。

    这是为啥?

    14 条回复    2015-12-03 08:37:48 +08:00
    squid157
        1
    squid157  
       2015-12-02 22:14:25 +08:00   ❤️ 1
    Subject Alt Name
    xufang
        2
    xufang  
       2015-12-02 22:16:33 +08:00 via Android   ❤️ 1
    随着 http2 的普及,不仅仅 cdn ,这种证书会越来越普遍的哦。
    alect
        3
    alect  
       2015-12-02 22:20:13 +08:00   ❤️ 1
    多域名证书呗。。。也称为 SAN 证书或 UCC 证书
    Orzzzz
        4
    Orzzzz  
    OP
       2015-12-02 22:20:48 +08:00
    @squid157
    @xufang
    原来如此,感谢!
    yeyeye
        5
    yeyeye  
       2015-12-02 22:21:57 +08:00
    一个 ssl 证书可以有很多个域名在里面,所以你明白了吗?

    你这个明显是用了 CF 的 CDN ,他家自己就是可信任的证书办法机构,所以可以随便颁发 SSL 证书(说随便不太合适,但是自己是机构,就是任性)

    至于为什么要这样搞,因为一个 IP 地址的一个端口只能使用一个 SSL 证书(除了 XP 可能不支持 SNI ,其实也有一些软件不支持), CDN 服务商也没有那么多 IP 来浪费,所以成为可信任证书办法机构是最简单快捷方便的方法
    ryd994
        6
    ryd994  
       2015-12-02 22:47:59 +08:00 via Android
    @yeyeye 当然可以多个,不然 sni 是干什么用的
    用 san 就是为了 XP 之类的用户而已
    LEFT
        7
    LEFT  
       2015-12-02 22:55:27 +08:00 via iPhone
    @yeyeye xp 下的 Firefox 是支持 SNI 的
    PublicID
        8
    PublicID  
       2015-12-02 22:59:35 +08:00 via Android
    @yeyeye CF 应该不是证书颁发机构,只是和 comodo 有合作
    yeyeye
        9
    yeyeye  
       2015-12-02 23:31:13 +08:00
    @ryd994
    @LEFT

    我知道你们又要推销 SNI 了,我怎么会不知道呢?问题是只要有低端用户存在(有时候企业软件逼着你无法升级啊,比如有的设备,是 16 位的,开发给 DOS 用的,顶天了你装个 Win98 吧,再高的系统就没法用了),所以只要 XP 以下用户还存在,就必须兼容他们。(我知道大家都想抛弃他们,他们也想抛弃,我也想抛弃,但是受限 1 ,可能某软件限制死了不准升级,还有就是受限 2 :电脑配置低,你总不能逼着别人去升级配置吧,受限 3 :你做的东西他们就是要访问,别问为什么)

    也许你能放弃他们,我能放弃他们,但是要彻底放弃确实是比较头疼的。所以我更多的时候想的是,要是有一个补丁或者一个第三方工具能让这些低端的系统,低端的浏览器也能使用 SNI 那该多好啊。到时候补丁一打上就能用了,再也不用纠缠对方升级,对方又无法升级。(除了浏览器,其实还有其它领域也是使用 SSL 认证的,那些地方也有不支持 SNI 的情况)

    另外 @LEFT 我错了看了下证书,确实应该是一种合作,不过 CF 也确实是可以任性发证书了……也是相当于可信任机构的作用了。
    yeyeye
        10
    yeyeye  
       2015-12-02 23:56:35 +08:00
    @PublicID 我错了看了下证书,确实应该是一种合作,不过 CF 也确实是可以任性发证书了……也是相当于可信任机构的作用了。
    @LEFT 刚才回复的那段是给他的 不好意思点错名字了
    ryd994
        11
    ryd994  
       2015-12-03 02:35:50 +08:00
    @yeyeye 你语文是体育老师教的吧?
    “因为一个 IP 地址的一个端口只能使用一个 SSL 证书(除了 XP 可能不支持 SNI ,“
    SharkIng
        12
    SharkIng  
       2015-12-03 03:23:56 +08:00
    这就是 CloudFlare 的证书,如果你域名有证书可以调成自己的证书,如果没有,那就是他们的类似服务器证书那种,现在好像全 Internet 就他们一家这样的
    dndx
        13
    dndx  
       2015-12-03 03:27:31 +08:00
    CF 的确是会帮你签免费证书但是 CF 并不是 CA ,证书是跟别的 CA 合作签的。

    任性是不可能的, CA 肯定是有 Domain Verification 的要不然就违反 CPS 了。
    yeyeye
        14
    yeyeye  
       2015-12-03 08:37:48 +08:00
    @ryd994 对 我们老师又教语文又教体育,这种情形在中国并不奇怪啊

    每个 IP 的每个端口嘛,用词可能不太精准。

    一个端口要用多个 SSL 证书,规范的话需要 SNI 来支持,不规范的话自己实现可以任性。说 XP 可能不支持也是因为有人在 V2EX 发图证明 SNI 在 XP SP3 中有支持。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1289 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 259ms · UTC 18:17 · PVG 02:17 · LAX 10:17 · JFK 13:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.