揭穿一下 FreeSSL 的不厚道推广

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Certbot 使用文档

› Dehydrated

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

这是一个创建于 2263 天前的主题，其中的信息可能已经有所发展或是发生改变。

没办法，看到这恶劣手法忍不住不上来水一帖

推广页面：blog.freessl.org/freessl-special-offers

他家甚至还群发了邮件（算了这都是小事）

兼容性对比图中 Certum 证书用的是 RSA，而 Let's Encrypt 用的是 ECC

测试中显示不兼容（红叉）的几款系统根本不支持 ECC 算法，因此不存在证书信任兼容性问题（实际上 Let's Encrypt RSA 是全兼容的）

而且 Certum 是四级证书链，LE 才三级，证书文件更小，性能更好

那用什么证书好呢？

能用 LE 尽量用 LE，稳稳的

需要一年有效期就用 TrustAsia

而且 TrustAsia 的免费 ECC 证书是全球唯一免费的全兼容三级证书链全链 ECC 证书，证书大小已是极致

Conclusion

并不反对 FreeSSL 卖付费证书，毕竟免费服务需要资金支持，也有人需要

但是请不要这么不要脸地推广，误导人

@freessl

证书

ECC

兼容

freessl

21 条回复 • 2018-09-15 19:01:18 +08:00

cnyang

2018-08-27 19:20:54 +08:00

举报垃圾邮件或拉进黑名单就行，对于此类公司不理它是消灭它的最佳方法

shansing

2018-08-27 19:59:49 +08:00

TrustAsia 的免费 ECC 证书，根证书也是 ECC 的了吗？这么好诶。
再问一个，听说 TrustAsia 的免费证书在 XP 下有兼容问题，有这回事吗？（虽然我知道 XP 是过时了，看到楼主说全兼容所以问一下。）

isCyan

2018-08-27 21:07:06 +08:00

@shansing 去年 DigiCert Symantec 过渡期是有的，现在 DigiCert 的根已经没有兼容性问题了

shansing

2018-08-27 22:37:47 +08:00

申请了一个 TrustAsia 的免费 ECC 证书，下面两级是 ECC 证书，根证书还是 RSA 的。

isCyan

2018-08-27 22:47:04 +08:00

@shansing 根证书是存储在客户端信任证书库的，你的网站不需要传根证书，只需要传网站证书（ ECC ）和中间证书（ ECC ）。只有根证书是 RSA 才能保证兼容性。如果根证书也是 ECC （比如 Comodo ），相对老旧（支持 ECC 算法但是没有 ECC 根证书）的客户端，还需要一级 RSA 签名的 ECC 证书做兼容。就相当于三级 ECC，一级 RSA。
而这个 TrustAsia ECC 就是二级 ECC，一级 RSA，同样兼容性比 Comodo 少传一个 ECC 证书。

shansing

2018-08-27 23:04:09 +08:00

@isCyan 噢，对，光顾着查看公钥算法，忘了网站不需要传输根证书这茬了。

choicky

2018-08-28 00:54:35 +08:00 via Android

trustAsia 证书被 Chrome 列为不安全的证书了……

isCyan

2018-08-28 01:28:13 +08:00 via Android

@choicky Symantec 被 Digicert 收购，后者提供重签。请更新一下相关新闻

xiaoz

2018-08-28 08:44:31 +08:00 via Android

@choicky 是的，重新申请是 digcert 的根证书，不会有问题。

freessl

2018-08-28 22:43:34 +08:00

@isCyan 昨天收一封反馈邮件，是误会，并不是有意的，这边已更新截图。这个价格也不赚钱，望谅解。

TrustOcean

2018-08-28 23:13:23 +08:00

可以期待一下即将推出的免费通配符证书
TrustOcean Encrypttion365 Wildcard SSL
TrustOcean Encrypttion365 MultiDomain Wildcard SSL
TrustOcean Encrypttion365 MultiDomain SSL
TrustOcean Encrypttion365 SingleDomain SSL

All TrustOcean Encryption365 Product support 3 month/time with free&unlimited auto-renew

isCyan

2018-08-28 23:48:50 +08:00

@TrustOcean 你是之前的 v2ssl 吧，期待一下

geekzu

2018-08-29 21:45:53 +08:00 via Android

证书链层级的问题，Certum 一般情况下也是三层的，2008 年的根证书，在部分系统上是四层，2002 年的根证书。和 comodo 差不多的实现，不过 comodo 是 2009 年根+2000 年根，更多系统会走四层证书链

geekzu

2018-08-29 21:48:59 +08:00 via Android

@TrustOcean 哪个 CA 的？不过如果是 3 个月一续的话感觉和 Let's Encrypt 区别不大了，证书链可能还会比 LE 更长

TrustOcean

2018-08-29 22:28:09 +08:00

@geekzu 证书链感觉还不错

[Now in Trusted Root Store , Serial: 2645093764781058787591871645665788717 ]
Root - USERTrust RSA Certification Authority
| - TrustOcean SSL CA - RSA - 2018 [Intermediate Certificate]
| - *.example.tld [User Entity Certificate]

测试连接: encryption365-ssl(dot)test(dot)trustocean(dot)com (2018/11/8 GMT+8 上午 7:59:59 之前可访问)

同时具备 RSA 和 ECC 根

isCyan

2018-08-29 23:36:13 +08:00

@TrustOcean 就是 comodo 家的嘛

namebus

2018-08-30 00:00:28 +08:00

@TrustOcean 你们会提供一年免费的么？是否支持 ACME ？如果只是三个月就不如直接 Let's Encrypt 了。

TrustOcean

2018-08-30 00:57:10 +08:00

@namebus 我们可能会使用自有的协议完成证书续订 PUSH, ACME 将会是额外的考虑。
您可以关注我的 ID，我们会通过活动形式赠送商业证书 1 年、2 年都有。
Encryption365 SSL 目前没有计划推出 1 年有效期的证书。

@isCyan 是的，所有签发和安全管理都依赖于 COMODO CA 的 PKI

shansing

2018-09-15 16:23:47 +08:00

@isCyan 在实际使用中发现一件有意思的事。XP 按照普遍认识（除了 Firefox ）是不支持 ECC 证书的，但是一众国产浏览器似乎却可以（ 360 安全浏览器 /360 极速浏览器 /遨游浏览器 /QQ 浏览器 /搜狗浏览器），不知道是不是因为用了新版 Chromium 代码的缘故。测试用的 Let's Encrypt ECC 证书。但当我用 TrustAsia ECC 证书，却不能打开了，会报证书错误。按照你的经验，分析可能是什么原因呢？

isCyan

2018-09-15 17:24:19 +08:00 via Android

@shansing 什么证书错误？
如果你有 xp 环境的话帮我测测这个
https://wp.bohan.co/
这是不带 addtrust 兼容根的 comodo ecc

shansing

2018-09-15 19:01:18 +08:00

@isCyan 提示证书无效（ NET::ERR_CERT_INVALID ），没记错的话跟我前面说的案例是同一个错误。综合看起来像是不能根据 ECC 中间证书找到可信任的根证书。
（ QQ 浏览器 9.7: Chromium 53 / Windows XP SP3 ）