最近遇到一个在境外的朋友跟我说没有好用的 SSL 证书用了,我一阵纳闷随手把 FreeSSL 发给他了,结果他跟我说这个网站现在必须要+86的电话号验证了……
因为实名的原因显然国内厂商这些实名认证才能签发的 SSL 他们是摸不到的,加上最近去年白嫖的 AlphaSSL 证书过期、Let‘s Encrypt 的 OCSP 被污染等等问题,最近可以说是把我能找得到的证书统统都试了一遍,就简单推荐一下我最近尝试的这些证书吧。
题图来源微博 @选择你的叶修,本站仅做引用,如果喜欢请务必关注画师太太啊≧ ﹏ ≦!
一、免费 SSL
TrustAsia
特色:一年有效期、DigiCert 根证书
TrustAsia 即亚洲诚信,可以说是对中国大陆 SSL 市场贡献最大的一个 SubCA 了,包括腾讯云、又拍云、Ucloud、宝塔等等服务商均是其免费产品的提供者,我在友链里面的随手翻翻十个人至少五个都是亚信的证书。
根证书 DigiCert 非常大众,曾经免费证书也使用了国内的ocsp.dcocsp.cn,但是后来似乎免费版都换回官方的ocsp.digicert.com了,整体兼容性非常棒,是个人站的不二的选择。需要注意的是 TrustAsia 的证书全平台同一根域下只能有 20 张有效(不包含过期和吊销的),所以免费也是有限度的,超过这个限度建议付费或考虑通配符证书。
DigiCert
特色:一年有效期、DigiCert 官方 CA
DigiCert 也就是 Symantec 自己有一个 Encryption Everywhere 的入门级 CA,厂商需要向 DigiCert 缴纳一定的费用才能使用,国内主要就财大气粗的阿里云在免费签发,景安的估计是因为没钱了接口已经撤了,海外 name.com 等厂商均仅向自己的域名 + 虚拟主机用户开放。
优点与亚洲诚信一样,但是阿里云也是限制账户中最多 20 张免费证书的,有需求可以搭配着亚信的额度一起用。
相关平台:阿里云、华为云
TrustOcean
特色:三个月有效期、Sectigo 根证书、IP 证书、通配符、ECC
TrustOcean 就是环智中诚,以前好像叫环洋诚信似的(可能是记错了),旗下免费 SubCA 有三个,Encyption365(近期发布)、UbiquiTLS(Sectigo CA)和 CreazySSL(海外市场)。Encyption365 之前是在 loc 进行了宣传,通过他们提供的宝塔的插件进行下单,官方也表示 IP 证书和通配符证书是符合 CA 的要求的,可以说是市场上唯一的免费 IP SSL 了吧。
至于 AllinSSL 是环洋的 ECMP 分销系统搭建的,实际上就是一家公司的产品,连通知邮件来源都一样,相比于 Encryption365 必须通过宝塔插件或者 API 下单,去 AllinSSL 自己上传 CSR 网页验证流程方便多了。AllinSSL 里的 CreazySSL 设置了 0.01 的费用,由于和 UbiquiTLS 都是差不多的证书应该没必要去买。
唯一的缺点就是环洋的免费证书证书链要比一般亚信之类的 SSL 长一级,影响不大,相比于其便利性是可以忽略的。
Buypass
特色:六个月有效期、ACME 自动化、自有根证书、ECC
这家是纯种海外 SSL 商家里面提供的免费时长最长的一个,和亚信一样限制单域名;但是它可以通过 ACME 便捷地获取,还是比较方便。
另外值得一提的是他家的 OCSP 使用的 Akamai 的 CDN,国内加载速度比 Sectigo 的 Stackpath 强得多,在国内使用上也是没什么问题的。
相关平台:ACME、FreeSSL
Let’s Encrypt
特色:三个月有效期、ACME 自动化、通配符、ECC
Let’s Encrypt 大家应该都很熟悉了,有随意域名组合、签发简洁快速、支持泛域名等等优点;由于是基金会的非盈利项目,有非常多的服务商比如 Vercel、Heroku 等等平台均使用其自动签发的服务。
除了优点之外不得不提到他在大陆比较致命的缺点,它的 OCSP 服务器指向的的 Akamai CNAME 受到了污染导致其 OCSP 请求不可达,会使得 Apple 用户首次访问白屏数十秒才能因超时而默认信任证书。其次目前 LE X3 的根证书 DST Root CA 即将到期,LE 也将于明年 1 月切换至自己在 2016 年签发的根证书进行分发,不再依赖与老牌 CA 的交叉授权。
但是 LE 在 2016 年的根显然太年轻了,相比 DigiCert 和 Sectigo 动辄十几年历史的根证书兼容性会受到很大挑战,比如安卓 7 以下设备均未内置 LE 自有的根且无后续更新支持,继续选择 LE 的证书也意味着对于这 25%“落后” 用户的淘汰。
相关平台:ACME、Let’s Encrypt
ZeroSSL
特色:三个月有效期、Sectigo 根证书、ACME 自动化、通配符、ECC
普通的海外土著商家,注册就可以申请。网站免费帐户只能申请 3 个最大 3 域名的 DV 证书,签发和吊销流程很顺畅,网站申请方面没什么亮点。
有大佬提到 ZeroSSL 可通过 ACME 签发 ECC 及通配符的证书,此处有待更新,详情页点击前往 (感谢@Edison Jwa的补充)。
ACME 可以参考:放弃 Let’s Encrypt 证书,全站更换 ZeroSSL 证书 – 饭饭’s Blog
相关平台:ZeroSSL
GoGetSSL
特色:三个月有效期、Sectigo 根证书
也是普通的海外土著商家,曾经提供过免费的一年证书。注册就可以申请,免费帐户只能申请最大 3 域名的 DV 证书,签发和吊销流程很顺畅,证书本身也没什么亮点。
相关平台:GoGetSSL
二、OCSP
引发这次对不同证书的尝试一个重要方面原因就是 OCSP。在你访问部署了某个证书的网站时,浏览器是通过请求证书内嵌的 CA 的 OCSP 地址来确定证书有效性,当 OCSP 不可及的时候浏览器需要在超时后才能放行,也就造成了数十秒的 “白屏”。
Let’s Encrypt 的 OCSP 地址使用的 CDN 指向的 CNAME 不明原因被污染了,影响主要是使用 Apple 全平台和 IE 的用户,其他平台 Chrome 及其衍生浏览器均默认均未开启 OCSP 功能;FireFox 对于 LE 的证书也是不校验默认信任的,不过对于其他的证书就不是这样的策略了。
国内这个特殊的政策条件下,世界主流的 CDN 都没办法设置边缘节点,所以在选择证书的时候有条件还是考虑一下 OCSP 在国内的适应性吧。
三、OCSP Stapling
当然前面提到 OCSP 不可及或者请求 OCSP 造成的延迟,这种也不是没有解决方案,OCSP Stapling 就是因此而生的。我之前在配置的时候因为证书链没有配置全一直没生效,就写写 NGINX 的配置方法吧。
导出证书链
Chrome 可以点击 SSL 的小锁打开证书详情,在证书路径除了我们的站点证书外证书链的多个证书即为我们所需要的。
双击要导出的证书,选择详细信息,点击复制到文件,选择 Base64 编码,一路下一步把证书链的证书全部导出。
把下载下来的证书按照 SubCA 在上、RootCA 在下的顺序组合起来,直接用记事本或者 NPP 复制进去即可。
开启 OCSP
ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /www/cert/fullchain.pem;
开启 OCSP 只需要加三段代码,其中ssl_trusted_certificate指向你刚才导出的证书链:
如图加在证书配置处即可,如果是 Let’s Encrypt 的证书因为不校验证书链无需指定ssl_trusted_certificate,只加前两句即可。
加好之后可以去 MySSL 进行测试,一般而言 OCSP 是在触发了 OCSP 请求之后再访问才会生效,所以可以测两次再看是否有效。
最近有朋友说即使启用了 OCSP Stapling 苹果的 Apple OCSP 策略依然会去验证 OCSP…… 不过配置一下总比不配置强吧,说不定以后这个策略就会改变了,毕竟这也是泄露用户访问信息的一个渠道。
定时任务刷新 OCSP 响应推荐参考饭饭大佬的博客:
Nginx 开启 OCSP 以解决 Let’s Encrypt 证书被 DNS 污染访问缓慢 – 饭饭’s Blog
四、随便说说
经过这件事不得不承认国内激烈的互联网竞争催生了很多人性化的服务,也难怪 Let’s Encrypt 在公布初期一呼百应,海外的免费 SSL 市场很少见亚信和环洋这样的搅局者,在短暂的免费后剩下的都是限制重重的 Trail。
最后就用上面的一张图作为总结,如果你需要长期
使用的单域名证书,亚信和阿里的都是极好的选择,临时便捷 Buypass 也是很不错的;如果需要通配符的话更加推荐 AllinSSL 的,相对 LE 而言不仅根证书更大众化而且包含了对 IP 证书的支持。同时这两种证书的根证书 DigiCert 和 Sectigo 因为受众广泛,360 的根证书计划已对其收录,在国内使用是没有什么后顾之忧的。
当然在最后还是得对亚信和环洋这两家公司表示感谢,放眼海外才知道这样的免费资源实在难得;其他的就不说了,在这里选择适合你的就是最好的。
