最【zuì】近遇到一个在【zài】境外的【de】朋友跟我说没有【yǒu】好用的SSL证书用了【le】,我一阵纳闷随手把FreeSSL发给他【tā】了,结果他跟我说【shuō】这个网站现【xiàn】在必须【xū】要【yào】+86的电话号验证了……
因为【wéi】实名的原【yuán】因显然【rán】国内厂商【shāng】这些实名认证才能【néng】签发的SSL他们是【shì】摸不到的,加上最【zuì】近去年白嫖的AlphaSSL证书过【guò】期、Let‘s Encrypt的OCSP被污染【rǎn】等等问题【tí】,最近【jìn】可以说是把【bǎ】我【wǒ】能找得到的证书统统都试了一【yī】遍,就简单推荐【jiàn】一【yī】下【xià】我最近尝试的这些证书吧。
特色:一年有效期、DigiCert根证书
TrustAsia即亚【yà】洲诚信,可以说是对【duì】中国【guó】大陆SSL市场贡献【xiàn】最大的【de】一个SubCA了,包括腾讯【xùn】云、又拍云、Ucloud、宝塔等等【děng】服【fú】务【wù】商均是其免费产品的【de】提供者【zhě】,我在友链里面的随手翻翻【fān】十个人至少五个都是【shì】亚信的证书【shū】。
根证书DigiCert非常大众,曾经免费证书也使用了国内的ocsp.dcocsp.cn,但是后来似乎免费版都换回官方的ocsp.digicert.com了,整体兼【jiān】容【róng】性非常棒,是个人站【zhàn】的不二的【de】选择。需【xū】要注意的是TrustAsia的【de】证书全平台同一根【gēn】域下只能有20张【zhāng】有效【xiào】(不包含过期和吊销【xiāo】的),所以免费也是有【yǒu】限度【dù】的,超过这个限度建议付费或考【kǎo】虑【lǜ】通【tōng】配符证书。
相关平台:腾讯云、宝塔、Ucloud
特色:一年有效期、DigiCert官方CA
DigiCert也就是Symantec自己【jǐ】有一个Encryption Everywhere的入门级CA,厂商需要向【xiàng】DigiCert缴纳一定的费【fèi】用才【cái】能使用,国内主【zhǔ】要就财大气粗的【de】阿里云【yún】在免费【fèi】签发,景【jǐng】安的估计是因为没钱了【le】接口已经撤了,海外name.com等【děng】厂商均仅向自己【jǐ】的域名+虚【xū】拟主机用户开【kāi】放。
优点【diǎn】与亚洲诚信【xìn】一样,但是阿里云也是限制账户中最多20张免【miǎn】费证书的【de】,有需求可以【yǐ】搭配着【zhe】亚【yà】信的额【é】度一起用。
相关平台:阿里云、华为云
特【tè】色【sè】:三个【gè】月【yuè】有效期、Sectigo根证书、IP证书、通配符、ECC
TrustOcean就是环智中诚,以前好像叫环【huán】洋诚信似的(可能是【shì】记【jì】错了),旗下免费SubCA有三个,Encyption365(近期发【fā】布)、UbiquiTLS(Sectigo CA)和【hé】CreazySSL(海外市场)。Encyption365之前是【shì】在loc进行了宣【xuān】传,通过他们提【tí】供的宝塔的插件进行下单,官方也表示【shì】IP证书和【hé】通配符【fú】证书【shū】是【shì】符合【hé】CA的【de】要求的,可以说是【shì】市场上【shàng】唯一的免【miǎn】费IP SSL了【le】吧。
至于【yú】AllinSSL是【shì】环洋【yáng】的ECMP分销【xiāo】系统搭建的【de】,实际上就是一家公司的产【chǎn】品,连通知【zhī】邮件【jiàn】来源都一样,相比于Encryption365必【bì】须【xū】通过宝塔插件或者API下【xià】单,去AllinSSL自己上传【chuán】CSR网页验证流程方便多了。AllinSSL里的CreazySSL设置了0.01的费用,由于和UbiquiTLS都是差不多的证【zhèng】书【shū】应该没必要去【qù】买。
唯一的缺点就是环洋的免费证书证【zhèng】书链要比一般亚信【xìn】之【zhī】类【lèi】的【de】SSL长一级,影响不大,相比于其便利性是可【kě】以【yǐ】忽略的。
相关平台:AllinSSL、环智中诚
特色:六个月有效期、ACME自动化、自有根证书、ECC
这家【jiā】是纯种海外SSL商家【jiā】里【lǐ】面提【tí】供的免费时长最【zuì】长的一个,和亚信【xìn】一样限制单域名【míng】;但是它可以【yǐ】通过ACME便捷地获取,即使你不熟【shú】悉ACME的【de】操作,你也可以通过FreeSSL.org使用网页版操作,还是比较方便。
另【lìng】外值【zhí】得【dé】一【yī】提的是他家的OCSP使用【yòng】的Akamai的【de】CDN,国【guó】内加载速度比Sectigo的Stackpath强得多,在【zài】国内使用上也是没什么问题的。
相关平台:ACME、FreeSSL
特色:三个月有效期、ACME自动化、通配符、ECC
Let’s Encrypt大家【jiā】应该都很【hěn】熟悉【xī】了【le】,有随意域名组合、签发简洁快速、支持【chí】泛域名等【děng】等优【yōu】点;由【yóu】于是【shì】基金会的非盈【yíng】利项目,有非常【cháng】多的服务商比如Vercel、Heroku等等平台均使用其自动签发的服务。
除了优点之外不得不提到他【tā】在大陆比较致命的缺点,它的OCSP服务【wù】器指向的的Akamai CNAME受到了污染导【dǎo】致其OCSP请求不【bú】可达,会使【shǐ】得Apple用【yòng】户【hù】首次访【fǎng】问白屏数十秒【miǎo】才能因【yīn】超时【shí】而默认信任证书。其【qí】次【cì】目前LE X3的根证书DST Root CA即【jí】将到【dào】期,LE也【yě】将【jiāng】于明年1月切换至自己在2016年签发的根证书【shū】进【jìn】行分发,不再依【yī】赖与【yǔ】老牌【pái】CA的交叉授权。
但是【shì】LE在2016年的根显【xiǎn】然太年轻了,相比DigiCert和Sectigo动辄十几年历【lì】史的根证书兼容性会受到很大挑战【zhàn】,比如安卓7以【yǐ】下设备【bèi】均【jun1】未内【nèi】置LE自有的根且【qiě】无后续【xù】更【gèng】新【xīn】支【zhī】持,继续选择LE的证书也意味着对于这25%“落后”用【yòng】户的淘汰。
相关平台:ACME、Let’s Encrypt
特色:三个月有效期、Sectigo根【gēn】证书【shū】、ACME自动化、通配【pèi】符、ECC
普通的【de】海外土著商家,注册【cè】就可以申请【qǐng】。网站免费帐户只能【néng】申请3个最大3域【yù】名的DV证【zhèng】书,签发【fā】和吊销流程很顺畅【chàng】,网站申请方面【miàn】没什【shí】么【me】亮点。
有大佬提【tí】到ZeroSSL可通【tōng】过ACME签发ECC及【jí】通【tōng】配符的证书,此处有【yǒu】待更新,详情【qíng】页点击前往(感谢
@Edison Jwa的补充)。ACME可以参考:放弃Let’s Encrypt证【zhèng】书,全站更换ZeroSSL证书 – 饭饭’s Blog
相关平台:ZeroSSL
特色:三个月有效期、Sectigo根证书
也是普通【tōng】的海外【wài】土著商家,曾经提供过【guò】免费的一【yī】年证书。注【zhù】册就可以申请,免费帐户【hù】只能申请最大3域名【míng】的DV证【zhèng】书,签发和吊销流【liú】程很【hěn】顺畅,证【zhèng】书本身【shēn】也没【méi】什【shí】么亮点。
相关平台:GoGetSSL
引【yǐn】发这【zhè】次对不【bú】同证书的【de】尝试一个重要方面原因就是OCSP。在你【nǐ】访问【wèn】部署了【le】某【mǒu】个证【zhèng】书的网站时,浏览【lǎn】器【qì】是通【tōng】过请求证书内嵌【qiàn】的CA的OCSP地址来确定证书有效性,当OCSP不可及的时候浏览器需【xū】要在超时【shí】后才能放行,也就造成了数十【shí】秒的“白屏”。
Let’s Encrypt的【de】OCSP地【dì】址【zhǐ】使用的CDN指【zhǐ】向【xiàng】的CNAME不【bú】明原因被污染了【le】,影响主要是使用【yòng】Apple全平台【tái】和IE的【de】用户,其他平台Chrome及其【qí】衍生浏览【lǎn】器【qì】均默认均未开启OCSP功能;FireFox对于LE的证书【shū】也是不校验默认信任的,不过对于【yú】其他【tā】的证书就不是这样的策略了。
| Root CA | OCSP地址 | CDN提供商 | 访问质量 |
| DigiCert(Global) | ocsp.digicert.com | Verizon | 正常 |
| DigiCert(China) | ocsp.dcocsp.cn | 阿里云 | 非常好 |
| Sectigo | ocsp.sectigo.com | Stackpath | 差 |
| Let’s Encrypt | ocsp.int-x3.letsencrypt.org | Akamai | 阻断 |
| Buypass | ocsp.buypass.com | Akamai | 正常 |
| GlobalSign | ocsp.globalsign.com | CF/Fastly/阿里云 | 非常好 |
国内这个特殊的政策条件下【xià】,世界【jiè】主【zhǔ】流的【de】CDN都【dōu】没办法设置边缘【yuán】节【jiē】点,所以【yǐ】在【zài】选择证书的时候【hòu】有条件还是考虑一下OCSP在国内【nèi】的适应性吧。
当然【rán】前面【miàn】提到OCSP不可及或者请求OCSP造【zào】成的延【yán】迟【chí】,这种也不是没【méi】有解【jiě】决方案【àn】,OCSP Stapling就【jiù】是因此而生的。我之前在配【pèi】置的时候因【yīn】为证书链没有配【pèi】置全一直没生效【xiào】,就写写NGINX的【de】配置方法【fǎ】吧。
Chrome可以点击SSL的小锁打【dǎ】开证书详情,在证书路径除了我们的站【zhàn】点证书外证书链【liàn】的【de】多【duō】个【gè】证书即为【wéi】我们所需要的【de】。
双击要导出的证书,选择详细信息,点击复制到文件,选择Base64编码,一路下一步把证书链的证书全部导出。
把下【xià】载下【xià】来【lái】的证【zhèng】书按照SubCA在上、RootCA在【zài】下的顺序组合起来,直接用记事本或者【zhě】NPP复【fù】制进去即可。
开启OCSP只需要加三段代码,其中ssl_trusted_certificate指向你刚才导出的证书链:
OCSP Stapling
Shell
| 1 2 3 | ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /www/cert/fullchain.pem; |
如图加在【zài】证书配置【zhì】处即可【kě】,如【rú】果是Let’s Encrypt的证书因为【wéi】不校验证书链无需指【zhǐ】定ssl_trusted_certificate,只加前两句即可。
加好之后可以【yǐ】去MySSL进行测【cè】试,一般而言OCSP是在触发了OCSP请求之后再访问【wèn】才会生效【xiào】,所以可【kě】以测两次再【zài】看是否有【yǒu】效【xiào】。
最近有朋友说即使【shǐ】启用了OCSP Stapling苹果的Apple OCSP策略依【yī】然会【huì】去验【yàn】证OCSP……不过配置一下总【zǒng】比不配置强吧,说【shuō】不【bú】定以后【hòu】这个策【cè】略就会改变了,毕竟这也是泄露用户【hù】访问信【xìn】息的一【yī】个渠道。
定时任务刷新OCSP响应推荐参考饭饭大佬的博客:
Nginx开【kāi】启OCSP以解决Let’s Encrypt证书被DNS污【wū】染【rǎn】访【fǎng】问缓慢 – 饭饭’s Blog
经【jīng】过这件【jiàn】事不【bú】得【dé】不承认国内【nèi】激烈【liè】的互联网竞【jìng】争催生了很多人性【xìng】化的服务,也难怪Let’s Encrypt在公布初【chū】期一【yī】呼【hū】百应【yīng】,海外的免费SSL市场很少见亚信和环洋这样【yàng】的搅局者,在【zài】短暂的免费后剩下【xià】的都是限制【zhì】重重的Trail。
最后就用上面的一张图作为总结,如果你需要长期
使用【yòng】的【de】单域名【míng】证书,亚信和阿里【lǐ】的都是极好的【de】选择【zé】,临时便捷Buypass也【yě】是很不错的;如果【guǒ】需要通配符的话更加推荐AllinSSL的,相对LE而言【yán】不仅根【gēn】证【zhèng】书更大【dà】众化而且包含了【le】对IP证【zhèng】书的支持。同【tóng】时这两种证书的根证书DigiCert和Sectigo因为受【shòu】众广泛【fàn】,360的根证【zhèng】书计划【huá】已对【duì】其收录,在国内使用是没有什【shí】么后顾之忧的。
当【dāng】然在最后【hòu】还是得对亚信和环洋【yáng】这两家公司表【biǎo】示感【gǎn】谢,放眼海外才知道这样的免费【fèi】资源实【shí】在难得;其他的就不【bú】说【shuō】了,在这里【lǐ】选【xuǎn】择适合你的就是最好【hǎo】的。
版权所有:深圳市网商在线科技有限公司
友情链接:
