SSL 证书 是不是互联网新时代的人头税啊。。。。

Let's 免费

腾讯云里也可以申请个免费的，只不过每年都要续期

别急，还有 ipv4 呢

@winecat 现在改成 3 个月了

是的。

@smilzman 下午刚申请的，是一年呀。

@VANHOR 12 月 31 日之后就只有 3 个月了。

le
zerossl
freessl.cn
谷歌
这几个都有免费 ssl 且可以用 acme.sh 自动续期
或者套 cf 也可以有 ssl

3 个月免费证书是不能用吗？

您好，是的。

本来就是的，你拉的宽带也是收费的。

感觉全靠 chrome 和安卓一把屎一把尿把 https 的基础设施做起来

@laqow 其实并不是 chrome ，ssl 是国内各大互联网公司联合起来，对抗 isp 运营商 在网页中劫持插入广告，维护自己的护城河而建立的。 而且这些公司是自己掏钱真金白银的， 免费给用户发证书。

只是现在浏览器对 非 https 恶意很大，导致了国内这些大厂现在开始得瑟，要降本增笑了

@kingjpa 国内大厂没有这个能力。就是 chromium 强推。现在默认 https 了。国内这些厂商还得买证书呢。
当年 12306 就是倔强，自己签名。

可以试试 Caddy

Zerossl 和 letsencrypt 不都是免费的吗

改成 3 个月后群晖就賊麻烦了，acme.sh dns challenge 用起来贼不方便

@AlexPUBLIC https://blog.gadore.top/archives/1677915050714/
我刚写了文章解决这事儿，哈哈哈。

你不做国内市场，屁事没有。

@pengtdyd 笑死了，我们又突然遥遥领先了。

@dianso 还是比较麻烦的，以前只要一年上传一次就行，希望能像群晖 ddns 的一样支持 dns 就好了

证书机构有什么很高的运营成本吗？感觉证书收费标准挺贵的

DV 证书直接用免费的 LE

不是业界头部厂商一般也不会上死贵的 OV 和 EV 证书

不会有人真的讨厌 https 吧，想想当年运营商随意篡改页面，偷 cookie 多恶心？

当年要不是 lets encrypt 横空杀出来，SSL 证书就是货真价实的收割利器。

公司有几个网站，接到各种电话销售让买收费证书。

证书颁发机构就类似公证处，都是可信第三方，公证处也是要收费的。

正常，一开始免费只是为了圈用户，说不定以后微信都会收费

ssl 不算，数字签名才是真的保护费

let's zerossl 谷歌这三个都是免费

SSL 证书，原理上是证书颁发机构(CA)验证你的身份，然后用自身的信誉来保证某个公钥是属于你的。
CA 需要保证根证书密钥绝对的安全，验证申请者身份，处理证书吊销，并且管理下级机构不得滥发证书，现在还需要公布证书透明度等等...这些都是成本。失信的 CA 可以参考 CNNIC 证书移除事件。
所以收费也是正常的，免费那是真的在做公益。如果不想给这些 CA 缴费，也可以自签名加到根证书列表，就是不被广泛信任罢了。

只是单纯用于加密数据的话 cloudflare 的 ssl 代理就够用了

维护 CA 签发证书也要成本。如果网站不重要可以不上，需要也可以用免费的。

@Atomo 信任也是用钱砸出来的，还有基础设施维护。

@kingjpa #13

国内？有资料来源吗？

这玩意跟国内互联网公司有啥特别大的关系吗？

用 acme.sh 自动签发免费证书，到期自动续，或者用 caddy 自动档，自动给你配置 ssl

@flyqie 和国内有屁关系。完全是 Google 之类大公司、互联网安全研究小组、Electronic Frontier Foundation 之类的组织推动的，现在的 Let's Encrypt 就是为了这个目的

这不是基本常识的吗？感觉有些人大概是在平行宇宙

@gadore 我之前也是类似的办法，不过使用别人打包好的 docker ，https://www.v2ex.com/t/854756

可以用 acme.sh,我当时简单写了下我部署时候遇到的问题，https://blog.fireheart.space/archives/%E4%BD%BF%E7%94%A8acme%E8%87%AA%E5%8A%A8%E7%94%9F%E6%88%90%E7%BD%91%E7%AB%99%E8%AF%81%E4%B9%A6%E6%97%B6%E9%81%87%E5%88%B0%E7%9A%84%E9%97%AE%E9%A2%98 ，可以自动续签

acme 或者 certbot 不是挺好的吗？我用了快两年了，除了第一次配置，两年都是自动更新，我都忘记这玩意儿的存在了。。。

@kingjpa 做内容的企业里哪一家免费给用户提供了？

国内的服务器用 acme 申请证书有个“墙”的问题吧，这个问题可以避免吗？

@Carlgao 没有吧 今天还用了 很丝滑，申请的泛域名证书

黑产：各位说得对，SSL 真是毒瘤
希望我们和各位一起齐心协力推动互联网安全倒退，回到那个幸福的年代。
和菜鸡程序员比拼 JS 混淆加密
轻松一点直接返回假页面绕过 js 加密钓鱼用户账号密码
真是怀念啊，想不到各位和我们想到一块去了，SSL 真是毒瘤，各位加油，抹黑它，抵制它！

@flyqie

链接就不发了，自行搜关键词： 腾讯等六家互联网公司联合声明：抵制流量劫持

在 2014 年左右， 那时候 app 还没有现在这么火 ，大部分都是在 pc 网页/微信里看视频， 3 大运营商才是广告平台大佬，没有 https ，运营商可以直接劫持网页 在原有网站插入广告。 这严重影响了 几大互联网平台的利益，所以越来越多的公司开始加入抵制， 然后开始了免费的 ssl ，

还有人说 1 年 1 续麻烦，其实以前 ssl 证书不是 1 年 1 续费， 几年的都有， 只是国内 360 控制的证书签发机构，做了违背祖宗的决定，伪造了国外某知名网站证书， 然后导致了 以后证书变成了 1 年 1 续费。

太多人 没经历过那个万花齐放时代，那会火的都是内容性网页，贴吧 猫扑 天涯 等等。 几乎么有审查

@skiy 你这是本末倒置，为什么以前 https 不提示告警，谷歌以前不知道 http 危险吗？

正是因为大部分网页都使用了 https ， 他才有底气给没有 https 的网页做危险阻拦

@kingjpa #45

https://en.wikipedia.org/wiki/Let's_Encrypt

根据给出的关键词，我能搜到的资料基本都是 2015 年国内，但 Let's_Encrypt 是早于这个时间出来的啊。。

而且，根据相关资料，改成一年是浏览器厂商搞的啊。。

https://www.zdnet.com/article/apple-strong-arms-entire-ca-industry-into-one-year-certificate-lifespans/

@kingjpa #46

https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

https://blog.chromium.org/2017/04/next-steps-toward-more-connection.html

https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html

https://blog.google/technology/safety-security/say-yes-https-chrome-secures-web-one-site-time/

这是我能找到的 Google 博客相关文章

@flyqie 证书改成 1 年有效期，是因为沃通伪造了 github 的证书，然后就被吊销了签发资格，从那以后所有签发证书都是 1 年。

你说的这个 Let's_Encrypt 以前又没有脚本签发，也没有脚本续期， 那个年代要用工具生成本地密钥 等等还是比较复杂的， 而且国内浏览器 以前是不认 Let's_Encrypt 的，以前国内大部分都是国产浏览器，每个大厂都有自己的浏览器。

我记忆中 七牛云应该是第一家免费发 ssl 的企业 ，然后才是阿里云 百度云 腾讯云等大厂跟进，有这些大厂，才让大部分中小企业用上了免费的 ssl , 包括现在大部分企业用的肯定是这几家的免费 ssl （其实是同一家证书公司发的）

国内这些大厂统一切换 https 应该就是 2014 年左右， 我记得百度还专门搞了个新闻 说全面进入 https 搜索时代 ，那会李彦宏风光的很，还做过全国首富，哎可惜贴吧没落了 没把握好

@flyqie
故意伪造证书
https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html

@kingjpa #50

想起来了。。

当年沃通炸了以后身边不少站长都在换证书。。

后来沃通就淡出视线了。。

ssl 这块我之前关注的极少，因为太麻烦了，后来是大家都上了，浏览器也做了限制，才逐渐开始用上了。

@kingjpa 那你这就不是本末倒置了吗。。拿国内进入 ssl 时代去论证整个互联网。那 chrome 只看国内就敢对非 https 告警了吗，那当然是看其他方面推动得全球都已经大多数网站 https 了。

当初就是一些国际公司和一些国际组织在推动 ssl 全球普及，他们可不仅仅是让自己的网站用上 ssl 而是在推动其他人的网站也用上，比如像 letsencrypt 签发免费证书开了个头，才有了后来这些越来越多越来越方便的免费证书。letsencrypt 以前即使有免费也是各种限制各种麻烦。

国内这些大厂切换到 ssl 是符合他们利益也符合技术趋势所以顺便上车了，国内大厂只是使用者，并不是推动者。

aws 证书免费自动续签(只要绑定到有效服务上),不需要任何操作.