V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
sunflyer
V2EX  ›  SSL

WoSign 和 StartSSL 全部停止签发免费 SSL 了

  •  
  •   sunflyer · 2016-10-03 21:16:10 +08:00 · 9649 次点击
    这是一个创建于 2976 天前的主题,其中的信息可能已经有所发展或是发生改变。
    https://buy.wosign.com/free/#ssl 现在写的是“出于安全原因暂停”
    StartSSL 登陆以后 DV1 的选项不可用(但是 Class 2 及以上的依然可以)

    话说。。。这次到底是只涉及两家的免费证书,还是全部炸?
    49 条回复    2016-12-30 11:02:28 +08:00
    hjc4869
        1
    hjc4869  
       2016-10-03 21:29:32 +08:00
    Apple 那边是 wosign 的免费证书, Mozilla 是全部。其它的还没表态。
    DoraJDJ
        2
    DoraJDJ  
       2016-10-03 21:49:52 +08:00
    昨天成功安利一位基友换成 Let's encrypt 证书的表示继续看大戏
    MinonHeart
        3
    MinonHeart  
       2016-10-03 22:13:48 +08:00 via iPhone
    腾讯云可以签一年期免费的证书
    nfroot
        4
    nfroot  
       2016-10-03 22:16:11 +08:00
    @MinonHeart 需要用腾讯云的主机吗?是一直免费一年,还是仅仅免费第一年
    binux
        5
    binux  
       2016-10-03 22:16:19 +08:00
    反正 V2EX 都不屑于使用 WoSign 的 SSL 的。
    qcloud
        6
    qcloud  
       2016-10-03 22:28:17 +08:00 via iPhone
    @nfroot 不需要腾讯云的主机,免费一年,到期再继续申请免费。
    nfroot
        7
    nfroot  
       2016-10-03 22:48:54 +08:00
    @qcloud 谢谢 看到被提到这么多次 终于明白了……(毕竟一般都是要用他们的服务才给免费服务……)
    ELIOTT
        8
    ELIOTT  
       2016-10-04 00:26:21 +08:00 via Android
    StartSSL 沒有暫停
    tSQghkfhTtQt9mtd
        9
    tSQghkfhTtQt9mtd  
       2016-10-04 00:28:27 +08:00 via Android
    被 HPKP 坑了一把,有一个子域还换不了证书,只能期待 StartSSL 不被吊销那么快了
    30 天。。。
    manihome
        10
    manihome  
       2016-10-04 00:30:37 +08:00
    刚给网站上了 Let's encrypt
    ovear
        11
    ovear  
       2016-10-04 00:31:16 +08:00
    Mozilla :计划通
    tension
        12
    tension  
       2016-10-04 00:34:10 +08:00
    今天刚上了 RapidSSL
    zrj766
        13
    zrj766  
       2016-10-04 00:34:36 +08:00 via Android
    GeoTrust 路过
    hjc4869
        14
    hjc4869  
       2016-10-04 02:53:50 +08:00
    @liwanglin12 旧证书不会失效
    davidyin
        15
    davidyin  
       2016-10-04 05:43:00 +08:00
    唯一的一张 startssl 证书已经换了 Comodo 的了。
    hotbaidu
        16
    hotbaidu  
       2016-10-04 09:15:27 +08:00
    StartSSL 的的 DV SSL Certificate 依然可以签发,目前没有选项不可用的问题啊...
    tSQghkfhTtQt9mtd
        17
    tSQghkfhTtQt9mtd  
       2016-10-04 10:26:45 +08:00 via Android
    @hjc4869 我记得说是吊销今年内啊?
    lhbc
        18
    lhbc  
       2016-10-04 10:44:37 +08:00 via iPhone
    @liwanglin12 我觉得都要用 HPKP 了,就别省那点钱,买个大品牌的证书。
    nvidiaAMD980X
        19
    nvidiaAMD980X  
       2016-10-04 13:39:38 +08:00 via Android
    自作孽,不可活
    Shura
        20
    Shura  
       2016-10-04 14:30:19 +08:00 via Android
    反正我的证书还能正常使用,一次签三年果然很方便。
    sunflyer
        21
    sunflyer  
    OP
       2016-10-04 14:57:38 +08:00
    @hotbaidu
    @ELIOTT
    好吧。。。我才发现是因为我做了 Class 2 验证。。。 = =
    DV 是可以的。
    但是这个也蛮蛋疼的了。


    @liwanglin12
    你算好的了。。。我 HPKP 设置的三个月。。。。这会儿只有强行换了
    Quaintjade
        22
    Quaintjade  
       2016-10-04 15:09:33 +08:00 via Android
    @MinonHeart
    腾讯云的证书,不能自己提交 CSR ,不能吊销(联系客服都不能吊销),黑到死的节奏。
    tadtung
        23
    tadtung  
       2016-10-04 15:38:12 +08:00 via Android
    其他免费没问题,毕竟 wosign 是 360 家的。
    jasontse
        24
    jasontse  
       2016-10-04 15:44:33 +08:00 via iPad
    @liwanglin12
    @sunflyer
    之前签的和有 CT 的不会被吊销
    tSQghkfhTtQt9mtd
        25
    tSQghkfhTtQt9mtd  
       2016-10-04 15:53:41 +08:00
    @jasontse 我突然觉得我换个鸡毛啊……
    70599
        26
    70599  
       2016-10-04 19:33:54 +08:00
    @qcloud 免费续签?可以在腾讯那里看到相应描述吗?
    lslqtz
        27
    lslqtz  
       2016-10-04 21:35:17 +08:00
    @liwanglin12 verisign 腾讯云大法好
    Quaintjade
        28
    Quaintjade  
       2016-10-04 22:25:06 +08:00 via Android
    @lslqtz
    然而腾讯云不能自己提交 CSR ,不能吊销。
    lslqtz
        29
    lslqtz  
       2016-10-04 23:15:15 +08:00
    @Quaintjade 我就问个问题 除了 ecc csr 有什么用?
    吊销??
    lslqtz
        30
    lslqtz  
       2016-10-04 23:16:16 +08:00
    @MinonHeart 不用鸟他 有赛门铁克的免费证书还埋怨。。
    Quaintjade
        31
    Quaintjade  
       2016-10-05 01:49:27 +08:00   ❤️ 2
    @lslqtz
    如果签发机构留存你的私钥并利用(或有意无意泄露被他人利用),那么可以利用已签发的证书+私钥来做中间人攻击而不被察觉。如果只有 CSR 而没有私钥,那即使想做中间人攻击也只能签发另一张证书,而这张证书的指纹与签发给你的那张不同,是可以被察觉和留作揭发证据的。
    而且腾讯云的证书+私钥是直接从腾讯服务器领取的哦,不是从 Symantec/TrustAsia 的服务器上领取的。

    你不小心把自己私钥泄露了,却无法吊销这张证书,那不是很尴尬吗?就像丢了身份证在技术上无法阻止捡到的人继续使用,这个傻缺设计已经被吐槽 N 久了。

    另外,虽然 IE 和 Edge 显示的是由 Verisign 认证, Firefox 显示的只是 TrustAsia 认证,因为中间证书的签发组织 O=TrustAsia Technologies, Inc.
    相比之下,人家 AlphaSSL 虽然也是子品牌,显示的认证信息却是 GlobalSign nv-sa

    说白了就是张免费证书,有什么优越感?
    lslqtz
        32
    lslqtz  
       2016-10-05 01:52:49 +08:00
    @Quaintjade
    那又咋样呢,说白了他就是比其他证书好,上级有 verisign 其他证书覆盖不到的它照样覆盖得到。
    再其次,腾讯云有 GeoTrust , Firefox 会直接显示为 GeoTrust Inc.
    说白了,如果证书和私钥有那么容易泄露就好了,天天捡谷歌证书。小博客会被中间人?大博客还用什么免费证书。
    自己把私钥泄露了也可以提交工单吊销证书,没什么不可以的,只是不开放功能而已。
    Quaintjade
        33
    Quaintjade  
       2016-10-05 02:10:29 +08:00
    @lslqtz
    这个叫做“亚洲诚信 TrustAsia ”的中间 CA 并不是 Symantec(verisign)的子公司或经销商,而是 Symantec 的客户。
    http://www.symantec.com/resources/customer_success/detail.jsp?cid=trustasia
    http://www.tianyancha.com/company/2311101899

    哦对了,只能签发二级域名证书,当然这不是黑点,因为本意是给 CDN 使用的。
    lslqtz
        34
    lslqtz  
       2016-10-05 02:24:09 +08:00
    @Quaintjade www 包含裸域。
    lslqtz
        35
    lslqtz  
       2016-10-05 02:24:53 +08:00
    @Quaintjade 以及,就算是客户,也是 verisign 的证书信任级别的。
    Quaintjade
        36
    Quaintjade  
       2016-10-05 02:25:11 +08:00
    @lslqtz
    第一,就为了覆盖那百分之几还是百分之零点几的用户么?
    第二,不太清楚 GeoTrust 是怎样申请的,或者说是腾讯的 CDN 吗?反正申请的 Verisign 根的证书并没有 GeoTrust 交叉根, Firefox 显示就是 TrustAsia 。
    第三,这是机制本身的薄弱环节,不要用实际上几乎不会发生来反驳。
    第四,我还真试过提交工单,结果回复说目前无法吊销:
    http://p1.bpimg.com/1949/aa6b9ec1c00ea457.png
    Quaintjade
        37
    Quaintjade  
       2016-10-05 02:29:50 +08:00
    @lslqtz
    www 包含裸域这倒是不知道,会试试看。
    bilok
        38
    bilok  
       2016-10-05 11:19:44 +08:00 via iPhone
    @Quaintjade 确实包含 昨天刚签
    lslqtz
        39
    lslqtz  
       2016-10-05 22:14:10 +08:00
    @Quaintjade
    1 、是潜在用户就要覆盖。
    2 、试试看手动将 Post : Type 改为 1
    3 、我吃瘪
    4 、同上
    namebus
        40
    namebus  
       2016-10-07 18:08:49 +08:00
    @Quaintjade 点击进去看那个 PDF 文档说明,这个“亚洲诚信 TrustAsia ”应该是 symantec(verisign)在亚太区的合作伙伴:
    http://www.symantec.com/content/en/us/enterprise/customer_successes/trustasia-cs-en-us.pdf

    你发出的那个 Symantec 链接是 Symantec Customer Success ,经销商 /合作伙伴也是客户的一种,好像是 symantec(verisign)在介绍 TrustAsia 的服务。

    总的来说, symantec 虽然收购了 verisign,但毕竟这个品牌还是全球大公司(包含国内大公司)的首选, Google 也是用的它们家的 geotrust root ,而这个“亚洲诚信 TrustAsia ”怎么着还是使用的最有价值的 verisign root ,应该比 geotrust 的要好,所以知足吧,只是不知道以后会不会收费,感觉这玩意不像永久免费的。
    Quaintjade
        41
    Quaintjade  
       2016-10-07 19:10:41 +08:00
    @namebus
    PDF 主要介绍的是 Symantec 的 Symantec Ready Issuance 如何帮助 TrustAsia 更好地为它自己的客户提供服务。 Symantec 与 TrustAsia 的 Partner 本质上就是供应商与客户这种生意伙伴关系,只不过因为 PKI 体系的原因以及 TrustAsia 目前是亚太区首个二级 CA 的关系,所以更紧密一些罢了。
    这与其他证书经销商最显著的一个区别在于:
    * TrustAsia 的客户完全只与 TrustAsia 直接打交道,证书也是从 TrustAsia(或者其客户)而非 Symantec/Verisign 签发和获取的;
    * 其他像 AlphaSSL , PositiveSSL 的经销商仅仅是拉客户,最终还是在 GlobalSign 和 Comodo 那里验证和取得证书的。

    实际上 DV (Class 1)级别的证书,除了老客户端支持率有零点几到几个百分点的差别之外,实际价值并没太大差别,尤其是 Symantec 签过几百张有问题的和几千张可能有问题的测试证书之后。
    Quaintjade
        42
    Quaintjade  
       2016-10-07 19:18:22 +08:00
    @namebus
    这家才是 Verisign 其中一家经销商吧:
    https://www.itrus.cn/html/guanyuwomen/342.html
    namebus
        43
    namebus  
       2016-10-07 23:16:35 +08:00   ❤️ 1
    @Quaintjade 在 Symantec 官方网站搜索了一下,找到下面这个链接,应该都是经销商:
    https://www.symantec.com/zh/cn/page.jsp?id=ssl-partner-sales

    看样子是 Symantec 和 TrustAsia 的合作更紧密一些,你说的那个亚太区的二级 CA 可能和这个新闻有关:
    https://www.symantec.com/zh/cn/about/news/release/article.jsp?prid=20160622_01
    lslqtz
        44
    lslqtz  
       2016-10-14 08:03:20 +08:00
    @namebus TrustAsia 是赛门铁克的一个经销商,有一个中级证书而已。
    至于赛门铁克比 GeoTrust 好我不赞同,我觉得都差不多,但是实际上, Windows 中中级证书的存储里有 GeoTrust 的中级证书,而没有 TrustAsia 的。
    namebus
        45
    namebus  
       2016-10-14 15:33:00 +08:00
    @lslqtz 我说的好是指市场的认可和品牌的定位, Symantec 目前是 CA 行业的老大, GeoTrust 是 Symantec 旗下的品牌。
    Windows 默认是没有任何的中级证书的,只有你访问了对应的网站,查看了证书链,中级证书就会自动下载到你的 Windows 中级存储区里。
    lslqtz
        46
    lslqtz  
       2016-10-14 18:07:37 +08:00 via iPhone
    @namebus Windows 10 有 30-50 个内置中级证书。
    namebus
        47
    namebus  
       2016-10-18 13:14:13 +08:00
    @lslqtz 你这个肯定不是全新的系统,全新的系统是不会内置这么多中级证书的,当你访问的网站如果中级证书没有部署,系统就会从证书中的 AIA 地址自动下载回来。
    lslqtz
        48
    lslqtz  
       2016-10-18 20:14:42 +08:00 via iPhone
    @namebus win10 全新 10586 iso
    ngloom
        49
    ngloom  
       2016-12-30 11:02:28 +08:00
    阿里云里有免费的赛门铁克证 DV SSL 书, 不支持通配符, 时限一年, 每个帐户上限 20 张.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3435 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 43ms · UTC 11:10 · PVG 19:10 · LAX 03:10 · JFK 06:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.