你在这里


考虑StartCom以外更多的SSL证书提供商

James Qi 2016年12月9日 - 15:44 发布

  StartCom这个公司提供SSL证书有上十年了,提供免费证书也很久了,但我上个月申请证书的时候发现网站上有新的提示:

1. Mozilla and Google decided to distrust all StartCom root certificates as of 21st of October, this situation will have an impact in the upcoming release of Firefox and Chrome in January. Apple's decision announced on Nov 30th of distrusting all StartCom root certificates as of 1st of December will have an impact in their upcoming security update. 
2. Any subscribers that paid the validation fee after Oct. 21st can get full refund by request. 
3. StartCom will provide an interim solution soon and will replace all the issued certificates with issuance date on or after Oct 21st in case of requested. Meanwhile StartCom is updating all systems and will generate new root CAs as requested by Mozilla to regain the trust in these browsers.

  也就是说其根证书不久就会不被Mozilla FireFoxGoogle ChromeApple Safare信任(更多文章:CA:WoSign IssuesWoSign and StartCom),那他们签发的所有证书都将失效,这可是个严重的问题,估计与其大规模免费发放证书或者非常便宜来进行验证有关(还有一些技术和管理上的不正规操作),太多了就不仔细审核了,问题自然就多。

  他们有个中国国内的咨询电话我打去询问了一下,他们还在想办法解决,目前停止收费,包括IV、OV、EV审核都是免费的(可能下年度收费),各种SSL证书签发也是免费的(其它证书如代码签名、客户端证书依然收费):

Currently, in case of requesting SSL certificates only, StartCom is offering the validation for free. For other types of certificate, StartCom will still charge for the validation.

If your purpose for validation is to get Code Signing certificate or client certificate, please process the payment of the validation fee by "Tool Box - My Balance - Recharge".Thanks.

  在网上搜索了一下,StartCom的DV证书一直被诟病,没有想到现在IV、OV、EV都受到影响。也与WoSign公司有关,好些是StartCom被WoSign收购,具有中国背景后更是疯狂发展免费业务。电话中沟通如果万一他们到时候没法解决根证书的问题,我们就只好更换其它公司的证书了。另外,发现部分浏览器(例如FireFox 32位Beta版本51.0b6)浏览我们https网站报错:

安全连接失败

连接 ipshu.com 时发生错误。 对等端的证书已被废除。 错误代码: SEC_ERROR_REVOKED_CERTIFICATE

    您尝试查看的页面无法显示,因为已收到数据的可靠性无法证实。
    请联系此网站的管理员并告知此问题。

  查看该版本FireFox安全设置中的证书列表,就没有StartCom的IV、OV、EV这几种认证证书,以前的一些版本也曾经没有DV认证证书。我这些天在逐步改一些网站为https,看来得留后路看看其它证书提供商了,总不能因为他们无法解决而让网站无法访问或者退回到http访问。

  先说免费的,还有一家Let's Encryt非盈利组织,mozilla、cisco、google、facebook等支持组建,可信任度比较高,从2015年开始签发证书,自动进行证书签发,90天过期,鼓励大家使用自动方式进行更新,目前支持一个证书多个域名(最多100个),但暂时不支持通配符。这个只能进行DV,也就是域名认证,不能进行OV、EV等认证。

  限时免费的:Comodo Free SSL 90天、GeoTrust 30天等。

  其它比较便宜的:

  目前在网上查找到的收费认证证书都是按照域名收费的,单域名、多域名、通配符域名、多域名通配符域名等几种。而StartCom提供的按照IV/OV/EV认证收费(可无限制发多域名通配符证书)方式是独家的,暂无其它跟进。而更贵的证书也有很多家提供。

  最近看了很多文章说http转向https是大势所趋,特别是在涉及到摄像头、麦克风、GPS坐标等用户隐私安全数据方面,是必须转到https的,所以我觉得SSL证书也会越来越普及、越来越便宜。有新消息我后续再补充本文。


  补充:周末翻阅了不少资料,发现Wosign沃通公司的母公司是奇虎360,也就是周流氓的公司,那做出任何出格的事情都不足为怪了。参考文章:《如何看待 Mozilla 决定停止信任沃通 (WoSign) 和 StartCom 颁发的证书?》、《老流氓 CNNIC 的接班人——聊聊“沃通/WoSign”的那些破事儿》,后面一篇需要翻墙查看。另外,今天拨打了世达康(深圳)技术有限公司StartCom深圳客服电话China (+86):(755)8827-8688,他们说还在与mozilla、google协商,争取在明年一月Firefox 51(2017-01-24)、Chrome 56(Jan 31st, 2017)正式版出来之前达成解决方案(iOS是不信任1 Dec 2016及以后的WoSign CA Free SSL Certificate G2,对我们暂无影响)。

自由标签:

添加新评论

Plain text

  • 不允许HTML标记。
  • 自动将网址与电子邮件地址转变为链接。
  • 自动断行和分段。
验证码
本问题用于测试您是否为人类访问者,避免自动垃圾发贴。
图形验证
键入显示在图片中的字符