1
teddysun 2015-09-08 14:09:40 +08:00
说的是很全面了。
虽然大部分内容我都知道了,但还是要赞一下楼主。 |
2
LuvLetter 2015-09-08 14:18:51 +08:00
非常感谢。
钱到位之后就开始搞域名和 SSL cert |
3
TheJuli 2015-09-08 14:24:52 +08:00 via Android 2
GGSSL 应该不是 Cross Sign 。和 PositiveSSL 一样是一个 Intermediate ,只是 Subject 那里产品一栏不显示 PositiveSSL 而是 GGSSL 。
StartSSL 的 Class 2 审核其实非常宽松。他甚至不需要证件验证一个 Mailing Addr 。拿不出文件?我们给你寄一封信就行了。所以就算你住冰岛还是马尔代夫只要你能收到信就可以过那个的验证,处理的好的话不用太担心个人信息的泄漏。街道地址不会放进去( Comodo 干这个),小心名字就好了 w 然而他的审核主要在发证书的时候。如果他觉得你在用你的名字帮别人发他会拒绝。 CAcert 我主要是萌能被 PGP sig 这一点。被两个 Assurer 验证过后可以请求 CAcert WoT Key 签你的 key 。 总之你付的钱主要是买 CA 那个名字。炫酷的 VeriSign 和满大街的以色列 StartSSL 大家心里还是分得清信任度的。 Disclosure: 以上提到的名字除了 VeriSign/Symantec 我都用过。 |
4
lyragosa 2015-09-08 14:28:34 +08:00
Let's Encrypt 终于变成军火商打架了吗
所以对群众有利的东西,就会有资本家出来搅局。 |
5
phoenixlzx OP @TheJuli .... 他们当年审核我的信息的时候貌似就在 Google 地图上找我提交的地址,然而貌似没有找到(智商...
没具体检查过 GGSSL 和 Positive 的 intermediate ,但是 CA 都是 AddTrust 来着。 事实上是没几个人会去看证书详情... 如果只是为了加密的话 DV 已经足够了。 |
6
TheJuli 2015-09-08 14:34:58 +08:00 via Android
@phoenixlzx 其实我不是很清楚 cross-sign 是怎么工作的啦 ...
我个人理解是给 pending browser/OS inclusion 的时候借用的。 COMODO 现在应该已经可以作为一个顶级的根了 ..? 做 SSLLabs 测试的时候证书链能看到两个不同的 "Path",想必是一个走 AddTrust AB 一个走自己的根的呢 |
7
JimmyCai 2015-09-08 14:40:36 +08:00 via Android
写的很好,长知识了
|
8
TheJuli 2015-09-08 14:43:24 +08:00 1
GGSSL vs PositiveSSL 的问题去 double check 了一下。
Issuer: CN=COMODO RSA Domain Validation Secure Server CA,O=COMODO CA Limited,L=Salford,ST=Greater Manchester,C=GB Subject: CN=*REMOVED*,OU=GGSSL Domain SSL,OU=Domain Control Validated Issuer: CN=COMODO RSA Domain Validation Secure Server CA,O=COMODO CA Limited,L=Salford,ST=Greater Manchester,C=GB Subject: CN=*REMOVED*,OU=PositiveSSL,OU=Domain Control Validated 另外 CAcert 虽然代码问题是一大堆(似乎有手动 construct SQL 语句的),但是其实作为一个平台能面基到很多对 WoT 有相同兴趣的人也是非常棒的一件事情。 爪机打字,说话不经过语文老师验证,各种语法错误抱歉。 |
9
phoenixlzx OP @TheJuli 赞,我来 append 一下。
|
10
Strikeactor 2015-09-08 15:11:03 +08:00
涨姿势了,感谢凤凰大大分享
|
11
Had 2015-09-08 15:24:38 +08:00
Digicert 这种看起来在网上找不到分销的,楼主觉得如何?
|
12
phoenixlzx OP @Had 他们家分销完全没有优势,而且公司本身服务据说很到位很专业也不需要分销,所以大概大公司会选择这家吧。
|
13
lty1993 2015-09-08 15:49:15 +08:00 via iPad
我想给我的 IP 签一张。。。求推荐证书商。。。我现在 StartSSL Class 2 很明显不支持给 IP 签证书。。。
|
14
ivmm 2015-09-08 15:50:08 +08:00
|
15
TheJuli 2015-09-08 16:00:04 +08:00
|
16
lty1993 2015-09-08 16:20:08 +08:00 via iPad
|
17
lty1993 2015-09-08 16:22:27 +08:00 via iPad
@TheJuli 虽然 IP 是 Direct Allocated 到我自己公司的,不过我可以做 Reassign 把 IP 划到我个人名下就是了。
|
19
wy315700 2015-09-08 16:24:48 +08:00
其实 SSL 使用中还有一个非强制的要求
在哪台机器上生成的密钥,就要在该机器上使用,比如你在三台机器上使用,就应该生成三份私钥,三个证书,一方面生成私钥的时候用到了随机数因子都是机器相关的,另一方面,如果一台机器被攻破了,只需要 revoke 这一个证书就行了。 然而大部分人在应用的时候都是在本机上生成一份私钥,然后部署到各个服务器去, 233333332 |
20
lty1993 2015-09-08 16:32:52 +08:00 via iPad
@TheJuli 嗯。。。就是不知道有没有代理商做这个可以提供便宜一点的。。。最好有 SAN 这样可以同时支持 V4 和 V6 。。。或者多加几个 V4 地址。。。
|
21
Had 2015-09-08 16:48:27 +08:00
@phoenixlzx 其实他家除了 Wildcard 以外的证书价格都还算实惠,而且只要经过了一次公司资质的认证,之后申请证书就秒签了。
|
22
Showfom 2015-09-08 16:50:28 +08:00
买 EV 证书可以找我
|
27
zhangshine 2015-09-08 17:45:08 +08:00
我在 gogetssl 买的 2 个域名的 DV ,一个带着 www ,另一个不带 www ,签下来的证书都包括 www 和根域名
|
28
bhqt 2015-09-08 17:55:03 +08:00
收藏了
|
29
quericy 2015-09-08 18:00:56 +08:00
凤凰卷来科普,先收藏再看~~
|
30
phoenixlzx OP @Had 我写的不就是 comodo 在各类证书下都是最便宜的嘛
@zhangshine 什么时候签的?前几天来我这买的客户带着 www 结果签下来是 www.xxx.com 和 www.www.xxx.com .... |
31
Had 2015-09-08 20:25:54 +08:00
@phoenixlzx
实惠和便宜是两回事啦... DigiCert 的 SSL Plus 和 EV 可以是同一个中级 CA , B 格 UP DigiCert 用 www 的 CSR 签出的是含 non-www 的,而且我怎么记得我当时买 RapidSSL 的时候也用的是 www 的 CSR... |
32
badcode 2015-09-08 20:49:22 +08:00
还有这个国内的
https://freessl.wosign.com/ |
33
alect 2015-09-08 21:11:54 +08:00
虽然楼主说的都知道,但是还是感谢楼主普及知识。
目前最便宜的 EV 非 comodo 莫属,我前几天跟 gogetssl 发邮件说换 geotrust ,他们还问我为啥要换, comodo 是 No.1 in the world |
34
LazyZhu 2015-09-08 21:12:04 +08:00
想不通 Google 这么推动 SSL 就为啥不推一推 Let's Encrypt? 这样的话小公司就得靠边了.
|
35
Starduster 2015-09-08 21:20:19 +08:00
qwq 所以想要个 wildcard 自己用,卷菊苣卖吗
|
36
clanned 2015-09-08 21:39:12 +08:00 via Android
“ StartSSL 签发的所有证书会填写所有的信息,也就是你提交的用于验证真实身份的信息都会包含在证书里”,这个没有吧,签发的证书里只找到邮箱地址,而且邮箱可以是 [email protected]
|
37
br00k 2015-09-08 21:44:12 +08:00
免费沃证书路过。。。
|
38
Quaintjade 2015-09-08 22:48:53 +08:00 via Android
证书体系就是个卡特尔,所以出现 let's encrypt 这样的组织必然是百般阻挠的。
|
39
phoenixlzx OP @Starduster 可以直接给你签一张,有空的时候来找我吧
|
42
invite 2015-09-09 08:25:37 +08:00
个人还是 StartSSL 就够了。
|
44
phoenixlzx OP |
45
HowardMei 2015-09-09 11:28:44 +08:00
原来便宜 Alphassl 是这么操作的,不靠谱
|
46
TrustyWolf 2015-09-12 18:05:24 +08:00
一直用 AlphaSSL ,现在对其背后的 GMO Internet, Inc.很感兴趣,社长高中辍学创业,很有胆识。
|
47
kozora 2015-10-05 01:06:11 +08:00
现在要用 COMODO 的 EV 的姿势就是 UK 的那个皮包公司吗?我托我在英国的朋友接收地址验证能行吗?( 2333 节约了 20 磅。。
|
48
referblue 2015-10-23 13:30:09 +08:00
@TrustyWolf AlphaSSL 的保障可真低
|
49
spencerqiu 2016-04-17 00:20:38 +08:00
所以说, 200 多天以后, Let's Encrypt 相对于 Comodo 等还有啥不足么?
|
50
phoenixlzx OP @spencerqiu 即便都是 DV ,各方面也都被限制了。不过可以签多域名,而且能自动续期,还有个愿意砸钱赚名声的 CA 在撑着,现在确实看起来不错的样子...
|
51
wql 2016-04-22 16:40:12 +08:00
@phoenixlzx 看来 IdenTrust 也是蛮拼的……
我一直在用 StartSSL 没有换到手上另外一张 Comodo 的原因就是, Comodo 证书链太长了………… |
52
DearTanker 2017-10-27 15:53:42 +08:00
说了半天,到底哪里能买到便宜的 comodo 野卡。
|