免費SSL證書那點事

推廣 2023-12-11編輯：深圳網(wǎng)站建設(shè)閱讀（）標簽： WordPress 那點 證書

最近遇到一個在境外的朋友跟我說沒有好用的SSL證書用了，我一陣納悶隨手把FreeSSL發(fā)給他了，結(jié)果他跟我說這個網(wǎng)站現(xiàn)在必須要+86的電話號驗證了……

因為實名的原因顯然國內(nèi)廠商這些實名認證才能簽發(fā)的SSL他們是摸不到的，加上最近去年白嫖的AlphaSSL證書過期、Let‘s Encrypt的OCSP被污染等等問題，最近可以說是把我能找得到的證書統(tǒng)統(tǒng)都試了一遍，就簡單推薦一下我最近嘗試的這些證書吧。

一、免費SSL

TrustAsia

特色：一年有效期、DigiCert根證書

TrustAsia即亞洲誠信，可以說是對中國大陸SSL市場貢獻最大的一個SubCA了，包括騰訊云、又拍云、Ucloud、寶塔等等服務(wù)商均是其免費產(chǎn)品的提供者，我在友鏈里面的隨手翻翻十個人至少五個都是亞信的證書。

根證書DigiCert非常大眾，曾經(jīng)免費證書也使用了國內(nèi)的ocsp.dcocsp.cn，但是后來似乎免費版都換回官方的ocsp.digicert.com了，整體兼容性非常棒，是個人站的不二的選擇。需要注意的是TrustAsia的證書全平臺同一根域下只能有20張有效（不包含過期和吊銷的），所以免費也是有限度的，超過這個限度建議付費或考慮通配符證書。

相關(guān)平臺：騰訊云、寶塔、Ucloud

DigiCert

特色：一年有效期、DigiCert官方CA

DigiCert也就是Symantec自己有一個Encryption Everywhere的入門級CA，廠商需要向DigiCert繳納一定的費用才能使用，國內(nèi)主要就財大氣粗的阿里云在免費簽發(fā)，景安的估計是因為沒錢了接口已經(jīng)撤了，海外name.com等廠商均僅向自己的域名+虛擬主機用戶開放。

優(yōu)點與亞洲誠信一樣，但是阿里云也是限制賬戶中最多20張免費證書的，有需求可以搭配著亞信的額度一起用。

相關(guān)平臺：阿里云、華為云

TrustOcean

特色：三個月有效期、Sectigo根證書、IP證書、通配符、ECC

TrustOcean就是環(huán)智中誠，以前好像叫環(huán)洋誠信似的（可能是記錯了），旗下免費SubCA有三個，Encyption365（近期發(fā)布）、UbiquiTLS（Sectigo CA）和CreazySSL（海外市場）。Encyption365之前是在loc進行了宣傳，通過他們提供的寶塔的插件進行下單，官方也表示IP證書和通配符證書是符合CA的要求的，可以說是市場上唯一的免費IP SSL了吧。

至于AllinSSL是環(huán)洋的ECMP分銷系統(tǒng)搭建的，實際上就是一家公司的產(chǎn)品，連通知郵件來源都一樣，相比于Encryption365必須通過寶塔插件或者API下單，去AllinSSL自己上傳CSR網(wǎng)頁驗證流程方便多了。AllinSSL里的CreazySSL設(shè)置了0.01的費用，由于和UbiquiTLS都是差不多的證書應(yīng)該沒必要去買。

唯一的缺點就是環(huán)洋的免費證書證書鏈要比一般亞信之類的SSL長一級，影響不大，相比于其便利性是可以忽略的。

相關(guān)平臺：AllinSSL、環(huán)智中誠

Buypass

特色：六個月有效期、ACME自動化、自有根證書、ECC

這家是純種海外SSL商家里面提供的免費時長最長的一個，和亞信一樣限制單域名；但是它可以通過ACME便捷地獲取，即使你不熟悉ACME的操作，你也可以通過FreeSSL.org使用網(wǎng)頁版操作，還是比較方便。

另外值得一提的是他家的OCSP使用的Akamai的CDN，國內(nèi)加載速度比Sectigo的Stackpath強得多，在國內(nèi)使用上也是沒什么問題的。

相關(guān)平臺：ACME、FreeSSL

Let’s Encrypt

特色：三個月有效期、ACME自動化、通配符、ECC

Let’s Encrypt大家應(yīng)該都很熟悉了，有隨意域名組合、簽發(fā)簡潔快速、支持泛域名等等優(yōu)點；由于是基金會的非盈利項目，有非常多的服務(wù)商比如Vercel、Heroku等等平臺均使用其自動簽發(fā)的服務(wù)。

除了優(yōu)點之外不得不提到他在大陸比較致命的缺點，它的OCSP服務(wù)器指向的的Akamai CNAME受到了污染導(dǎo)致其OCSP請求不可達，會使得Apple用戶首次訪問白屏數(shù)十秒才能因超時而默認信任證書。其次目前LE X3的根證書DST Root CA即將到期，LE也將于明年1月切換至自己在2016年簽發(fā)的根證書進行分發(fā)，不再依賴與老牌CA的交叉授權(quán)。

但是LE在2016年的根顯然太年輕了，相比DigiCert和Sectigo動輒十幾年歷史的根證書兼容性會受到很大挑戰(zhàn)，比如安卓7以下設(shè)備均未內(nèi)置LE自有的根且無后續(xù)更新支持，繼續(xù)選擇LE的證書也意味著對于這25%“落后”用戶的淘汰。

相關(guān)平臺：ACME、Let’s Encrypt

ZeroSSL

特色：三個月有效期、Sectigo根證書、ACME自動化、通配符、ECC

普通的海外土著商家，注冊就可以申請。網(wǎng)站免費帳戶只能申請3個最大3域名的DV證書，簽發(fā)和吊銷流程很順暢，網(wǎng)站申請方面沒什么亮點。

有大佬提到ZeroSSL可通過ACME簽發(fā)ECC及通配符的證書，此處有待更新，詳情頁點擊前往(感謝@Edison Jwa的補充)。

ACME可以參考：放棄Let’s Encrypt證書，全站更換ZeroSSL證書 – 飯飯’s Blog

相關(guān)平臺：ZeroSSL

GoGetSSL

特色：三個月有效期、Sectigo根證書

也是普通的海外土著商家，曾經(jīng)提供過免費的一年證書。注冊就可以申請，免費帳戶只能申請最大3域名的DV證書，簽發(fā)和吊銷流程很順暢，證書本身也沒什么亮點。

相關(guān)平臺：GoGetSSL

二、OCSP

引發(fā)這次對不同證書的嘗試一個重要方面原因就是OCSP。在你訪問部署了某個證書的網(wǎng)站時，瀏覽器是通過請求證書內(nèi)嵌的CA的OCSP地址來確定證書有效性，當OCSP不可及的時候瀏覽器需要在超時后才能放行，也就造成了數(shù)十秒的“白屏”。

Let’s Encrypt的OCSP地址使用的CDN指向的CNAME不明原因被污染了，影響主要是使用Apple全平臺和IE的用戶，其他平臺Chrome及其衍生瀏覽器均默認均未開啟OCSP功能；FireFox對于LE的證書也是不校驗?zāi)J信任的，不過對于其他的證書就不是這樣的策略了。

國內(nèi)這個特殊的政策條件下，世界主流的CDN都沒辦法設(shè)置邊緣節(jié)點，所以在選擇證書的時候有條件還是考慮一下OCSP在國內(nèi)的適應(yīng)性吧。

三、OCSP Stapling

當然前面提到OCSP不可及或者請求OCSP造成的延遲，這種也不是沒有解決方案，OCSP Stapling就是因此而生的。我之前在配置的時候因為證書鏈沒有配置全一直沒生效，就寫寫NGINX的配置方法吧。

導(dǎo)出證書鏈

Chrome可以點擊SSL的小鎖打開證書詳情，在證書路徑除了我們的站點證書外證書鏈的多個證書即為我們所需要的。

雙擊要導(dǎo)出的證書，選擇詳細信息，點擊復(fù)制到文件，選擇Base64編碼，一路下一步把證書鏈的證書全部導(dǎo)出。

把下載下來的證書按照SubCA在上、RootCA在下的順序組合起來，直接用記事本或者NPP復(fù)制進去即可。

開啟OCSP

開啟OCSP只需要加三段代碼，其中ssl_trusted_certificate指向你剛才導(dǎo)出的證書鏈：

OCSP Stapling

Shell

如圖加在證書配置處即可，如果是Let’s Encrypt的證書因為不校驗證書鏈無需指定ssl_trusted_certificate，只加前兩句即可。

加好之后可以去MySSL進行測試，一般而言O(shè)CSP是在觸發(fā)了OCSP請求之后再訪問才會生效，所以可以測兩次再看是否有效。

最近有朋友說即使啟用了OCSP Stapling蘋果的Apple OCSP策略依然會去驗證OCSP……不過配置一下總比不配置強吧，說不定以后這個策略就會改變了，畢竟這也是泄露用戶訪問信息的一個渠道。

定時任務(wù)刷新OCSP響應(yīng)推薦參考飯飯大佬的博客：
Nginx開啟OCSP以解決Let’s Encrypt證書被DNS污染訪問緩慢 – 飯飯’s Blog

四、隨便說說

經(jīng)過這件事不得不承認國內(nèi)激烈的互聯(lián)網(wǎng)競爭催生了很多人性化的服務(wù)，也難怪Let’s Encrypt在公布初期一呼百應(yīng)，海外的免費SSL市場很少見亞信和環(huán)洋這樣的攪局者，在短暫的免費后剩下的都是限制重重的Trail。

最后就用上面的一張圖作為總結(jié)，如果你需要長期使用的單域名證書，亞信和阿里的都是極好的選擇，臨時便捷Buypass也是很不錯的；如果需要通配符的話更加推薦AllinSSL的，相對LE而言不僅根證書更大眾化而且包含了對IP證書的支持。同時這兩種證書的根證書DigiCert和Sectigo因為受眾廣泛，360的根證書計劃已對其收錄，在國內(nèi)使用是沒有什么后顧之憂的。

當然在最后還是得對亞信和環(huán)洋這兩家公司表示感謝，放眼海外才知道這樣的免費資源實在難得；其他的就不說了，在這里選擇適合你的就是最好的。

WordPress,那點,證書,WordPress,那點,證書相關(guān)推薦預(yù)約建網(wǎng)站