免費(fèi)SSL證書(shū)那點(diǎn)事

推廣 2023-12-11編輯：重慶網(wǎng)站建設(shè)標(biāo)簽： WordPress 那點(diǎn) 證書(shū)

最近遇到一個(gè)在境外的朋友跟我說(shuō)沒(méi)有好用的SSL證書(shū)用了，我一陣納悶隨手把FreeSSL發(fā)給他了，結(jié)果他跟我說(shuō)這個(gè)網(wǎng)站現(xiàn)在必須要+86的電話號(hào)驗(yàn)證了……

因?yàn)閷?shí)名的原因顯然國(guó)內(nèi)廠商這些實(shí)名認(rèn)證才能簽發(fā)的SSL他們是摸不到的，加上最近去年白嫖的AlphaSSL證書(shū)過(guò)期、Let‘s Encrypt的OCSP被污染等等問(wèn)題，最近可以說(shuō)是把我能找得到的證書(shū)統(tǒng)統(tǒng)都試了一遍，就簡(jiǎn)單推薦一下我最近嘗試的這些證書(shū)吧。

一、免費(fèi)SSL

TrustAsia

特色：一年有效期、DigiCert根證書(shū)

TrustAsia即亞洲誠(chéng)信，可以說(shuō)是對(duì)中國(guó)大陸SSL市場(chǎng)貢獻(xiàn)最大的一個(gè)SubCA了，包括騰訊云、又拍云、Ucloud、寶塔等等服務(wù)商均是其免費(fèi)產(chǎn)品的提供者，我在友鏈里面的隨手翻翻十個(gè)人至少五個(gè)都是亞信的證書(shū)。

根證書(shū)DigiCert非常大眾，曾經(jīng)免費(fèi)證書(shū)也使用了國(guó)內(nèi)的ocsp.dcocsp.cn，但是后來(lái)似乎免費(fèi)版都換回官方的ocsp.digicert.com了，整體兼容性非常棒，是個(gè)人站的不二的選擇。需要注意的是TrustAsia的證書(shū)全平臺(tái)同一根域下只能有20張有效（不包含過(guò)期和吊銷(xiāo)的），所以免費(fèi)也是有限度的，超過(guò)這個(gè)限度建議付費(fèi)或考慮通配符證書(shū)。

相關(guān)平臺(tái)：騰訊云、寶塔、Ucloud

DigiCert

特色：一年有效期、DigiCert官方CA

DigiCert也就是Symantec自己有一個(gè)Encryption Everywhere的入門(mén)級(jí)CA，廠商需要向DigiCert繳納一定的費(fèi)用才能使用，國(guó)內(nèi)主要就財(cái)大氣粗的阿里云在免費(fèi)簽發(fā)，景安的估計(jì)是因?yàn)闆](méi)錢(qián)了接口已經(jīng)撤了，海外name.com等廠商均僅向自己的域名+虛擬主機(jī)用戶開(kāi)放。

優(yōu)點(diǎn)與亞洲誠(chéng)信一樣，但是阿里云也是限制賬戶中最多20張免費(fèi)證書(shū)的，有需求可以搭配著亞信的額度一起用。

相關(guān)平臺(tái)：阿里云、華為云

TrustOcean

特色：三個(gè)月有效期、Sectigo根證書(shū)、IP證書(shū)、通配符、ECC

TrustOcean就是環(huán)智中誠(chéng)，以前好像叫環(huán)洋誠(chéng)信似的（可能是記錯(cuò)了），旗下免費(fèi)SubCA有三個(gè)，Encyption365（近期發(fā)布）、UbiquiTLS（Sectigo CA）和CreazySSL（海外市場(chǎng)）。Encyption365之前是在loc進(jìn)行了宣傳，通過(guò)他們提供的寶塔的插件進(jìn)行下單，官方也表示IP證書(shū)和通配符證書(shū)是符合CA的要求的，可以說(shuō)是市場(chǎng)上唯一的免費(fèi)IP SSL了吧。

至于AllinSSL是環(huán)洋的ECMP分銷(xiāo)系統(tǒng)搭建的，實(shí)際上就是一家公司的產(chǎn)品，連通知郵件來(lái)源都一樣，相比于Encryption365必須通過(guò)寶塔插件或者API下單，去AllinSSL自己上傳CSR網(wǎng)頁(yè)驗(yàn)證流程方便多了。AllinSSL里的CreazySSL設(shè)置了0.01的費(fèi)用，由于和UbiquiTLS都是差不多的證書(shū)應(yīng)該沒(méi)必要去買(mǎi)。

唯一的缺點(diǎn)就是環(huán)洋的免費(fèi)證書(shū)證書(shū)鏈要比一般亞信之類(lèi)的SSL長(zhǎng)一級(jí)，影響不大，相比于其便利性是可以忽略的。

相關(guān)平臺(tái)：AllinSSL、環(huán)智中誠(chéng)

Buypass

特色：六個(gè)月有效期、ACME自動(dòng)化、自有根證書(shū)、ECC

這家是純種海外SSL商家里面提供的免費(fèi)時(shí)長(zhǎng)最長(zhǎng)的一個(gè)，和亞信一樣限制單域名；但是它可以通過(guò)ACME便捷地獲取，即使你不熟悉ACME的操作，你也可以通過(guò)FreeSSL.org使用網(wǎng)頁(yè)版操作，還是比較方便。

另外值得一提的是他家的OCSP使用的Akamai的CDN，國(guó)內(nèi)加載速度比Sectigo的Stackpath強(qiáng)得多，在國(guó)內(nèi)使用上也是沒(méi)什么問(wèn)題的。

相關(guān)平臺(tái)：ACME、FreeSSL

Let’s Encrypt

特色：三個(gè)月有效期、ACME自動(dòng)化、通配符、ECC

Let’s Encrypt大家應(yīng)該都很熟悉了，有隨意域名組合、簽發(fā)簡(jiǎn)潔快速、支持泛域名等等優(yōu)點(diǎn)；由于是基金會(huì)的非盈利項(xiàng)目，有非常多的服務(wù)商比如Vercel、Heroku等等平臺(tái)均使用其自動(dòng)簽發(fā)的服務(wù)。

除了優(yōu)點(diǎn)之外不得不提到他在大陸比較致命的缺點(diǎn)，它的OCSP服務(wù)器指向的的Akamai CNAME受到了污染導(dǎo)致其OCSP請(qǐng)求不可達(dá)，會(huì)使得Apple用戶首次訪問(wèn)白屏數(shù)十秒才能因超時(shí)而默認(rèn)信任證書(shū)。其次目前LE X3的根證書(shū)DST Root CA即將到期，LE也將于明年1月切換至自己在2016年簽發(fā)的根證書(shū)進(jìn)行分發(fā)，不再依賴(lài)與老牌CA的交叉授權(quán)。

但是LE在2016年的根顯然太年輕了，相比DigiCert和Sectigo動(dòng)輒十幾年歷史的根證書(shū)兼容性會(huì)受到很大挑戰(zhàn)，比如安卓7以下設(shè)備均未內(nèi)置LE自有的根且無(wú)后續(xù)更新支持，繼續(xù)選擇LE的證書(shū)也意味著對(duì)于這25%“落后”用戶的淘汰。

相關(guān)平臺(tái)：ACME、Let’s Encrypt

ZeroSSL

特色：三個(gè)月有效期、Sectigo根證書(shū)、ACME自動(dòng)化、通配符、ECC

普通的海外土著商家，注冊(cè)就可以申請(qǐng)。網(wǎng)站免費(fèi)帳戶只能申請(qǐng)3個(gè)最大3域名的DV證書(shū)，簽發(fā)和吊銷(xiāo)流程很順暢，網(wǎng)站申請(qǐng)方面沒(méi)什么亮點(diǎn)。

有大佬提到ZeroSSL可通過(guò)ACME簽發(fā)ECC及通配符的證書(shū)，此處有待更新，詳情頁(yè)點(diǎn)擊前往(感謝@Edison Jwa的補(bǔ)充)。

ACME可以參考：放棄Let’s Encrypt證書(shū)，全站更換ZeroSSL證書(shū) – 飯飯’s Blog

相關(guān)平臺(tái)：ZeroSSL

GoGetSSL

特色：三個(gè)月有效期、Sectigo根證書(shū)

也是普通的海外土著商家，曾經(jīng)提供過(guò)免費(fèi)的一年證書(shū)。注冊(cè)就可以申請(qǐng)，免費(fèi)帳戶只能申請(qǐng)最大3域名的DV證書(shū)，簽發(fā)和吊銷(xiāo)流程很順暢，證書(shū)本身也沒(méi)什么亮點(diǎn)。

相關(guān)平臺(tái)：GoGetSSL

二、OCSP

引發(fā)這次對(duì)不同證書(shū)的嘗試一個(gè)重要方面原因就是OCSP。在你訪問(wèn)部署了某個(gè)證書(shū)的網(wǎng)站時(shí)，瀏覽器是通過(guò)請(qǐng)求證書(shū)內(nèi)嵌的CA的OCSP地址來(lái)確定證書(shū)有效性，當(dāng)OCSP不可及的時(shí)候?yàn)g覽器需要在超時(shí)后才能放行，也就造成了數(shù)十秒的“白屏”。

Let’s Encrypt的OCSP地址使用的CDN指向的CNAME不明原因被污染了，影響主要是使用Apple全平臺(tái)和IE的用戶，其他平臺(tái)Chrome及其衍生瀏覽器均默認(rèn)均未開(kāi)啟OCSP功能；FireFox對(duì)于LE的證書(shū)也是不校驗(yàn)?zāi)J(rèn)信任的，不過(guò)對(duì)于其他的證書(shū)就不是這樣的策略了。

國(guó)內(nèi)這個(gè)特殊的政策條件下，世界主流的CDN都沒(méi)辦法設(shè)置邊緣節(jié)點(diǎn)，所以在選擇證書(shū)的時(shí)候有條件還是考慮一下OCSP在國(guó)內(nèi)的適應(yīng)性吧。

三、OCSP Stapling

當(dāng)然前面提到OCSP不可及或者請(qǐng)求OCSP造成的延遲，這種也不是沒(méi)有解決方案，OCSP Stapling就是因此而生的。我之前在配置的時(shí)候因?yàn)樽C書(shū)鏈沒(méi)有配置全一直沒(méi)生效，就寫(xiě)寫(xiě)NGINX的配置方法吧。

導(dǎo)出證書(shū)鏈

Chrome可以點(diǎn)擊SSL的小鎖打開(kāi)證書(shū)詳情，在證書(shū)路徑除了我們的站點(diǎn)證書(shū)外證書(shū)鏈的多個(gè)證書(shū)即為我們所需要的。

雙擊要導(dǎo)出的證書(shū)，選擇詳細(xì)信息，點(diǎn)擊復(fù)制到文件，選擇Base64編碼，一路下一步把證書(shū)鏈的證書(shū)全部導(dǎo)出。

把下載下來(lái)的證書(shū)按照SubCA在上、RootCA在下的順序組合起來(lái)，直接用記事本或者NPP復(fù)制進(jìn)去即可。

開(kāi)啟OCSP

開(kāi)啟OCSP只需要加三段代碼，其中ssl_trusted_certificate指向你剛才導(dǎo)出的證書(shū)鏈：

OCSP Stapling

Shell

如圖加在證書(shū)配置處即可，如果是Let’s Encrypt的證書(shū)因?yàn)椴恍ｒ?yàn)證書(shū)鏈無(wú)需指定ssl_trusted_certificate，只加前兩句即可。

加好之后可以去MySSL進(jìn)行測(cè)試，一般而言O(shè)CSP是在觸發(fā)了OCSP請(qǐng)求之后再訪問(wèn)才會(huì)生效，所以可以測(cè)兩次再看是否有效。

最近有朋友說(shuō)即使啟用了OCSP Stapling蘋(píng)果的Apple OCSP策略依然會(huì)去驗(yàn)證OCSP……不過(guò)配置一下總比不配置強(qiáng)吧，說(shuō)不定以后這個(gè)策略就會(huì)改變了，畢竟這也是泄露用戶訪問(wèn)信息的一個(gè)渠道。

定時(shí)任務(wù)刷新OCSP響應(yīng)推薦參考飯飯大佬的博客：
Nginx開(kāi)啟OCSP以解決Let’s Encrypt證書(shū)被DNS污染訪問(wèn)緩慢 – 飯飯’s Blog

四、隨便說(shuō)說(shuō)

經(jīng)過(guò)這件事不得不承認(rèn)國(guó)內(nèi)激烈的互聯(lián)網(wǎng)競(jìng)爭(zhēng)催生了很多人性化的服務(wù)，也難怪Let’s Encrypt在公布初期一呼百應(yīng)，海外的免費(fèi)SSL市場(chǎng)很少見(jiàn)亞信和環(huán)洋這樣的攪局者，在短暫的免費(fèi)后剩下的都是限制重重的Trail。

最后就用上面的一張圖作為總結(jié)，如果你需要長(zhǎng)期使用的單域名證書(shū)，亞信和阿里的都是極好的選擇，臨時(shí)便捷Buypass也是很不錯(cuò)的；如果需要通配符的話更加推薦AllinSSL的，相對(duì)LE而言不僅根證書(shū)更大眾化而且包含了對(duì)IP證書(shū)的支持。同時(shí)這兩種證書(shū)的根證書(shū)DigiCert和Sectigo因?yàn)槭鼙姀V泛，360的根證書(shū)計(jì)劃已對(duì)其收錄，在國(guó)內(nèi)使用是沒(méi)有什么后顧之憂的。

當(dāng)然在最后還是得對(duì)亞信和環(huán)洋這兩家公司表示感謝，放眼海外才知道這樣的免費(fèi)資源實(shí)在難得；其他的就不說(shuō)了，在這里選擇適合你的就是最好的。

WordPress,那點(diǎn),證書(shū),WordPress,那點(diǎn),證書(shū)相關(guān)推薦預(yù)約建網(wǎng)站