免費(fèi)SSL證書那點(diǎn)事

推廣 2023-12-11編輯：重慶網(wǎng)站建設(shè)標(biāo)簽： WordPress 那點(diǎn) 證書

最近遇到一個(gè)在境外的朋友跟我說沒有好用的SSL證書用了，我一陣納悶隨手把FreeSSL發(fā)給他了，結(jié)果他跟我說這個(gè)網(wǎng)站現(xiàn)在必須要+86的電話號(hào)驗(yàn)證了……

因?yàn)閷?shí)名的原因顯然國內(nèi)廠商這些實(shí)名認(rèn)證才能簽發(fā)的SSL他們是摸不到的，加上最近去年白嫖的AlphaSSL證書過期、Let‘s Encrypt的OCSP被污染等等問題，最近可以說是把我能找得到的證書統(tǒng)統(tǒng)都試了一遍，就簡單推薦一下我最近嘗試的這些證書吧。

一、免費(fèi)SSL

TrustAsia

特色：一年有效期、DigiCert根證書

TrustAsia即亞洲誠信，可以說是對(duì)中國大陸SSL市場(chǎng)貢獻(xiàn)最大的一個(gè)SubCA了，包括騰訊云、又拍云、Ucloud、寶塔等等服務(wù)商均是其免費(fèi)產(chǎn)品的提供者，我在友鏈里面的隨手翻翻十個(gè)人至少五個(gè)都是亞信的證書。

根證書DigiCert非常大眾，曾經(jīng)免費(fèi)證書也使用了國內(nèi)的ocsp.dcocsp.cn，但是后來似乎免費(fèi)版都換回官方的ocsp.digicert.com了，整體兼容性非常棒，是個(gè)人站的不二的選擇。需要注意的是TrustAsia的證書全平臺(tái)同一根域下只能有20張有效（不包含過期和吊銷的），所以免費(fèi)也是有限度的，超過這個(gè)限度建議付費(fèi)或考慮通配符證書。

相關(guān)平臺(tái)：騰訊云、寶塔、Ucloud

DigiCert

特色：一年有效期、DigiCert官方CA

DigiCert也就是Symantec自己有一個(gè)Encryption Everywhere的入門級(jí)CA，廠商需要向DigiCert繳納一定的費(fèi)用才能使用，國內(nèi)主要就財(cái)大氣粗的阿里云在免費(fèi)簽發(fā)，景安的估計(jì)是因?yàn)闆]錢了接口已經(jīng)撤了，海外name.com等廠商均僅向自己的域名+虛擬主機(jī)用戶開放。

優(yōu)點(diǎn)與亞洲誠信一樣，但是阿里云也是限制賬戶中最多20張免費(fèi)證書的，有需求可以搭配著亞信的額度一起用。

相關(guān)平臺(tái)：阿里云、華為云

TrustOcean

特色：三個(gè)月有效期、Sectigo根證書、IP證書、通配符、ECC

TrustOcean就是環(huán)智中誠，以前好像叫環(huán)洋誠信似的（可能是記錯(cuò)了），旗下免費(fèi)SubCA有三個(gè)，Encyption365（近期發(fā)布）、UbiquiTLS（Sectigo CA）和CreazySSL（海外市場(chǎng)）。Encyption365之前是在loc進(jìn)行了宣傳，通過他們提供的寶塔的插件進(jìn)行下單，官方也表示IP證書和通配符證書是符合CA的要求的，可以說是市場(chǎng)上唯一的免費(fèi)IP SSL了吧。

至于AllinSSL是環(huán)洋的ECMP分銷系統(tǒng)搭建的，實(shí)際上就是一家公司的產(chǎn)品，連通知郵件來源都一樣，相比于Encryption365必須通過寶塔插件或者API下單，去AllinSSL自己上傳CSR網(wǎng)頁驗(yàn)證流程方便多了。AllinSSL里的CreazySSL設(shè)置了0.01的費(fèi)用，由于和UbiquiTLS都是差不多的證書應(yīng)該沒必要去買。

唯一的缺點(diǎn)就是環(huán)洋的免費(fèi)證書證書鏈要比一般亞信之類的SSL長一級(jí)，影響不大，相比于其便利性是可以忽略的。

相關(guān)平臺(tái)：AllinSSL、環(huán)智中誠

Buypass

特色：六個(gè)月有效期、ACME自動(dòng)化、自有根證書、ECC

這家是純種海外SSL商家里面提供的免費(fèi)時(shí)長最長的一個(gè)，和亞信一樣限制單域名；但是它可以通過ACME便捷地獲取，即使你不熟悉ACME的操作，你也可以通過FreeSSL.org使用網(wǎng)頁版操作，還是比較方便。

另外值得一提的是他家的OCSP使用的Akamai的CDN，國內(nèi)加載速度比Sectigo的Stackpath強(qiáng)得多，在國內(nèi)使用上也是沒什么問題的。

相關(guān)平臺(tái)：ACME、FreeSSL

Let’s Encrypt

特色：三個(gè)月有效期、ACME自動(dòng)化、通配符、ECC

Let’s Encrypt大家應(yīng)該都很熟悉了，有隨意域名組合、簽發(fā)簡潔快速、支持泛域名等等優(yōu)點(diǎn)；由于是基金會(huì)的非盈利項(xiàng)目，有非常多的服務(wù)商比如Vercel、Heroku等等平臺(tái)均使用其自動(dòng)簽發(fā)的服務(wù)。

除了優(yōu)點(diǎn)之外不得不提到他在大陸比較致命的缺點(diǎn)，它的OCSP服務(wù)器指向的的Akamai CNAME受到了污染導(dǎo)致其OCSP請(qǐng)求不可達(dá)，會(huì)使得Apple用戶首次訪問白屏數(shù)十秒才能因超時(shí)而默認(rèn)信任證書。其次目前LE X3的根證書DST Root CA即將到期，LE也將于明年1月切換至自己在2016年簽發(fā)的根證書進(jìn)行分發(fā)，不再依賴與老牌CA的交叉授權(quán)。

但是LE在2016年的根顯然太年輕了，相比DigiCert和Sectigo動(dòng)輒十幾年歷史的根證書兼容性會(huì)受到很大挑戰(zhàn)，比如安卓7以下設(shè)備均未內(nèi)置LE自有的根且無后續(xù)更新支持，繼續(xù)選擇LE的證書也意味著對(duì)于這25%“落后”用戶的淘汰。

相關(guān)平臺(tái)：ACME、Let’s Encrypt

ZeroSSL

特色：三個(gè)月有效期、Sectigo根證書、ACME自動(dòng)化、通配符、ECC

普通的海外土著商家，注冊(cè)就可以申請(qǐng)。網(wǎng)站免費(fèi)帳戶只能申請(qǐng)3個(gè)最大3域名的DV證書，簽發(fā)和吊銷流程很順暢，網(wǎng)站申請(qǐng)方面沒什么亮點(diǎn)。

有大佬提到ZeroSSL可通過ACME簽發(fā)ECC及通配符的證書，此處有待更新，詳情頁點(diǎn)擊前往(感謝@Edison Jwa的補(bǔ)充)。

ACME可以參考：放棄Let’s Encrypt證書，全站更換ZeroSSL證書 – 飯飯’s Blog

相關(guān)平臺(tái)：ZeroSSL

GoGetSSL

特色：三個(gè)月有效期、Sectigo根證書

也是普通的海外土著商家，曾經(jīng)提供過免費(fèi)的一年證書。注冊(cè)就可以申請(qǐng)，免費(fèi)帳戶只能申請(qǐng)最大3域名的DV證書，簽發(fā)和吊銷流程很順暢，證書本身也沒什么亮點(diǎn)。

相關(guān)平臺(tái)：GoGetSSL

二、OCSP

引發(fā)這次對(duì)不同證書的嘗試一個(gè)重要方面原因就是OCSP。在你訪問部署了某個(gè)證書的網(wǎng)站時(shí)，瀏覽器是通過請(qǐng)求證書內(nèi)嵌的CA的OCSP地址來確定證書有效性，當(dāng)OCSP不可及的時(shí)候?yàn)g覽器需要在超時(shí)后才能放行，也就造成了數(shù)十秒的“白屏”。

Let’s Encrypt的OCSP地址使用的CDN指向的CNAME不明原因被污染了，影響主要是使用Apple全平臺(tái)和IE的用戶，其他平臺(tái)Chrome及其衍生瀏覽器均默認(rèn)均未開啟OCSP功能；FireFox對(duì)于LE的證書也是不校驗(yàn)?zāi)J(rèn)信任的，不過對(duì)于其他的證書就不是這樣的策略了。

國內(nèi)這個(gè)特殊的政策條件下，世界主流的CDN都沒辦法設(shè)置邊緣節(jié)點(diǎn)，所以在選擇證書的時(shí)候有條件還是考慮一下OCSP在國內(nèi)的適應(yīng)性吧。

三、OCSP Stapling

當(dāng)然前面提到OCSP不可及或者請(qǐng)求OCSP造成的延遲，這種也不是沒有解決方案，OCSP Stapling就是因此而生的。我之前在配置的時(shí)候因?yàn)樽C書鏈沒有配置全一直沒生效，就寫寫NGINX的配置方法吧。

導(dǎo)出證書鏈

Chrome可以點(diǎn)擊SSL的小鎖打開證書詳情，在證書路徑除了我們的站點(diǎn)證書外證書鏈的多個(gè)證書即為我們所需要的。

雙擊要導(dǎo)出的證書，選擇詳細(xì)信息，點(diǎn)擊復(fù)制到文件，選擇Base64編碼，一路下一步把證書鏈的證書全部導(dǎo)出。

把下載下來的證書按照SubCA在上、RootCA在下的順序組合起來，直接用記事本或者NPP復(fù)制進(jìn)去即可。

開啟OCSP

開啟OCSP只需要加三段代碼，其中ssl_trusted_certificate指向你剛才導(dǎo)出的證書鏈：

OCSP Stapling

Shell

如圖加在證書配置處即可，如果是Let’s Encrypt的證書因?yàn)椴恍ｒ?yàn)證書鏈無需指定ssl_trusted_certificate，只加前兩句即可。

加好之后可以去MySSL進(jìn)行測(cè)試，一般而言O(shè)CSP是在觸發(fā)了OCSP請(qǐng)求之后再訪問才會(huì)生效，所以可以測(cè)兩次再看是否有效。

最近有朋友說即使啟用了OCSP Stapling蘋果的Apple OCSP策略依然會(huì)去驗(yàn)證OCSP……不過配置一下總比不配置強(qiáng)吧，說不定以后這個(gè)策略就會(huì)改變了，畢竟這也是泄露用戶訪問信息的一個(gè)渠道。

定時(shí)任務(wù)刷新OCSP響應(yīng)推薦參考飯飯大佬的博客：
Nginx開啟OCSP以解決Let’s Encrypt證書被DNS污染訪問緩慢 – 飯飯’s Blog

四、隨便說說

經(jīng)過這件事不得不承認(rèn)國內(nèi)激烈的互聯(lián)網(wǎng)競爭催生了很多人性化的服務(wù)，也難怪Let’s Encrypt在公布初期一呼百應(yīng)，海外的免費(fèi)SSL市場(chǎng)很少見亞信和環(huán)洋這樣的攪局者，在短暫的免費(fèi)后剩下的都是限制重重的Trail。

最后就用上面的一張圖作為總結(jié)，如果你需要長期使用的單域名證書，亞信和阿里的都是極好的選擇，臨時(shí)便捷Buypass也是很不錯(cuò)的；如果需要通配符的話更加推薦AllinSSL的，相對(duì)LE而言不僅根證書更大眾化而且包含了對(duì)IP證書的支持。同時(shí)這兩種證書的根證書DigiCert和Sectigo因?yàn)槭鼙姀V泛，360的根證書計(jì)劃已對(duì)其收錄，在國內(nèi)使用是沒有什么后顧之憂的。

當(dāng)然在最后還是得對(duì)亞信和環(huán)洋這兩家公司表示感謝，放眼海外才知道這樣的免費(fèi)資源實(shí)在難得；其他的就不說了，在這里選擇適合你的就是最好的。

WordPress,那點(diǎn),證書,WordPress,那點(diǎn),證書相關(guān)推薦預(yù)約建網(wǎng)站