您在這裡

考慮StartCom以外更多的SSL證書提供商

James Qi 在 2016年12月9日 - 15:44 發表

  StartCom這個公司提供SSL證書有上十年了,提供免費證書也很久了,但我上個月申請證書的時候發現網站上有新的提示:

1. Mozilla and Google decided to distrust all StartCom root certificates as of 21st of October, this situation will have an impact in the upcoming release of Firefox and Chrome in January. Apple's decision announced on Nov 30th of distrusting all StartCom root certificates as of 1st of December will have an impact in their upcoming security update. 
2. Any subscribers that paid the validation fee after Oct. 21st can get full refund by request. 
3. StartCom will provide an interim solution soon and will replace all the issued certificates with issuance date on or after Oct 21st in case of requested. Meanwhile StartCom is updating all systems and will generate new root CAs as requested by Mozilla to regain the trust in these browsers.

  也就是說其根證書不久就會不被Mozilla FireFoxGoogle ChromeApple Safare信任(更多文章:CA:WoSign IssuesWoSign and StartCom),那他們簽發的所有證書都将失效,這可是個嚴重的問題,估計與其大規模免費發放證書或者非常便宜來進行驗證有關(還有一些技術和管理上的不正規操作),太多了就不仔細審核了,問題自然就多。

  他們有個中國國内的咨詢電話我打去詢問了一下,他們還在想辦法解決,目前停止收費,包括IV、OV、EV審核都是免費的(可能下年度收費),各種SSL證書簽發也是免費的(其它證書如代碼簽名、客戶端證書依然收費):

Currently, in case of requesting SSL certificates only, StartCom is offering the validation for free. For other types of certificate, StartCom will still charge for the validation.

If your purpose for validation is to get Code Signing certificate or client certificate, please process the payment of the validation fee by "Tool Box - My Balance - Recharge".Thanks.

  在網上搜索了一下,StartCom的DV證書一直被诟病,沒有想到現在IV、OV、EV都受到影響。也與WoSign公司有關,好些是StartCom被WoSign收購,具有中國背景後更是瘋狂發展免費業務。電話中溝通如果萬一他們到時候沒法解決根證書的問題,我們就隻好更換其它公司的證書了。另外,發現部分浏覽器(例如FireFox 32位Beta版本51.0b6)浏覽我們https網站報錯:

安全連接失敗

連接 ipshu.com 時發生錯誤。 對等端的證書已被廢除。 錯誤代碼: SEC_ERROR_REVOKED_CERTIFICATE

    您嘗試查看的頁面無法顯示,因為已收到數據的可靠性無法證實。
    請聯系此網站的管理員并告知此問題。

  查看該版本FireFox安全設置中的證書列表,就沒有StartCom的IV、OV、EV這幾種認證證書,以前的一些版本也曾經沒有DV認證證書。我這些天在逐步改一些網站為https,看來得留後路看看其它證書提供商了,總不能因為他們無法解決而讓網站無法訪問或者退回到http訪問。

  先說免費的,還有一家Let's Encryt非盈利組織,mozilla、cisco、google、facebook等支持組建,可信任度比較高,從2015年開始簽發證書,自動進行證書簽發,90天過期,鼓勵大家使用自動方式進行更新,目前支持一個證書多個域名(最多100個),但暫時不支持通配符。這個隻能進行DV,也就是域名認證,不能進行OV、EV等認證。

  限時免費的:Comodo Free SSL 90天、GeoTrust 30天等。

  其它比較便宜的:

  目前在網上查找到的收費認證證書都是按照域名收費的,單域名、多域名、通配符域名、多域名通配符域名等幾種。而StartCom提供的按照IV/OV/EV認證收費(可無限制發多域名通配符證書)方式是獨家的,暫無其它跟進。而更貴的證書也有很多家提供。

  最近看了很多文章說http轉向https是大勢所趨,特别是在涉及到攝像頭、麥克風、GPS坐标等用戶隐私安全數據方面,是必須轉到https的,所以我覺得SSL證書也會越來越普及、越來越便宜。有新消息我後續再補充本文。


  補充:周末翻閱了不少資料,發現Wosign沃通公司的母公司是奇虎360,也就是周流氓的公司,那做出任何出格的事情都不足為怪了。參考文章:《如何看待 Mozilla 決定停止信任沃通 (WoSign) 和 StartCom 頒發的證書?》、《老流氓 CNNIC 的接班人——聊聊“沃通/WoSign”的那些破事兒》,後面一篇需要翻牆查看。另外,今天撥打了世達康(深圳)技術有限公司StartCom深圳客服電話China (+86):(755)8827-8688,他們說還在與mozilla、google協商,争取在明年一月Firefox 51(2017-01-24)、Chrome 56(Jan 31st, 2017)正式版出來之前達成解決方案(iOS是不信任1 Dec 2016及以後的WoSign CA Free SSL Certificate G2,對我們暫無影響)。


  2017年11月30日補充:收到startcom的郵件,我們去年做的認證到期了,不過我們去年早就開始考慮StartCom以外更多的SSL證書提供商,全面改為Let's Encrypt的免費SSL證書了,對我們沒有什麼影響。去看https://www.startssl.com的域名都打不開,因為其本身的SSL證書被吊銷了,但http://www.startssl.com會跳轉到https://www.startcomca.com,去看到一篇新聞《Termination of StartCom business》,這個公司決定終止業務開展了。

自由标簽:

發表新回應

Plain text

  • 不允許使用 HTML 標籤。
  • 自動將網址與電子郵件地址轉變為連結。
  • 自動斷行和分段。