startssl 已经可以签发 10 个域名的 UCC 证书了

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Certbot 使用文档

› Dehydrated

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

这是一个创建于 2976 天前的主题，其中的信息可能已经有所发展或是发生改变。

Multiple Domains (UCC) 目前支持到 10 个了，有效期变成了3年。之前是两年，5个子域。
wosign 那边的免费证书已经可以签到 20 个域了。。

ucc

证书

StartSSL

wosign

27 条回复 • 2016-09-24 13:25:04 +08:00

initialdp

2016-09-20 21:37:58 +08:00

首先是信任问题，然后才考虑数量问题。

alect

2016-09-20 21:52:01 +08:00

@initialdp 你不信任可以不用。

Ubuntuu

2016-09-20 21:54:01 +08:00

你们慢慢用

ivmm

2016-09-20 21:59:12 +08:00

把百度的吊销了，顶多百度的软件不会被安装。
把沃通吊销了，是一波网站不能用，还有购买付费证书的。

你吊不吊销可以，请不要到哪里都叫嚣着吊销。

alect

2016-09-20 22:00:26 +08:00

@ivmm 被迫害妄想症的人太多了，真以为他们那点儿数据别人能看上。

ivmm

2016-09-20 22:02:32 +08:00

@alect 不过呢，是 Github 这样的大站被劫持了，你下载的源码或许就会有毒。小网站没有人想着乱签发。

但问题是，就算不是沃通，我自己的证书被广泛信任但依旧可以有办法获得信任。沃通也早已经把技术缺陷修复了

wql

2016-09-20 22:14:28 +08:00 via Android

首先，是信任问题。其次， le 可以签到一百个，对于有自动化配置环境的人，这样的 20 个域名 UCC 没有优势。

Cu635

2016-09-20 22:21:57 +08:00

startssl 不就是 pki 平台被 360 管着的那个么。

dynos01

2016-09-20 22:28:18 +08:00 via iPhone

作为一个 ca ，自己的行为影响巨大，不信任他是正常的

shiji

2016-09-20 22:53:46 +08:00

@alect 这个还真不是妄想，不是有事实证据摆着么，在一个需要把信任放在第一位的行业，有了如此严重的错误，就应该付出代价。再一个，别人能不能看上你的数据是别人的事，你想不想把数据给别人看才是你的事。不能说陈老师泄露过艳照，他以后上街就不穿裤子了吧？

sutra

2016-09-20 23:23:58 +08:00

lets encrypt 貌似可以更多？

jiangkun

2016-09-21 01:05:28 +08:00 via iPhone

托管到 360 个人觉得倒是没什么，只是比较喜欢没事儿开一个子域名，也没法提前知道，就索性用泛域名 ssl 了。
信任问题，感觉是有点被放大了，不过的确其它厂商比较便宜的可以优先考虑。没有在电脑上特意设置，遇到过一次默认就不信任 wosign ca 情况，没怎么在意。
最近发现地铁上的免费 Wi-Fi 也开始在网页植入广告，所以感觉这玩意儿还是有比较好。

cocochan

2016-09-21 01:19:28 +08:00 via iPhone

看起来现在卖 AlphaSSL 有前途， 1 刀 1 张怎么样 😂

lshero

2016-09-21 01:30:29 +08:00 via iPhone

按照什么商业就反对啥来说，自签证书最安全了吧？反正多数人都是自己的博客也没别人看

bugmenein

2016-09-21 02:45:39 +08:00 via Android

@ivmm WoSign 的所谓技术缺陷修复了。但是屁股还没擦完，因为他们已有日志不足以解决已然签发的不合规证书问题。有兴趣可以详细阅读 Mozilla 邮件列表和 Wiki 里的有关内容。

bugmenein

2016-09-21 02:48:08 +08:00 via Android

还有 WoSign 因上述原因几周前就说要把所有已经签发的有记录的证书提交 CT ，然而现在这个计划还没完成。

bugmenein

2016-09-21 02:49:17 +08:00 via Android

@alect 我怀疑你有被迫害妄想症，真以为你那点儿数据别人能看上，还用什么 HTTPS 。

macroideal

2016-09-21 05:23:17 +08:00 via iPhone

能不能修改?

vietor

2016-09-21 07:55:50 +08:00 via Android

楼主头像不适合为安全背书

isbase

2016-09-21 08:54:56 +08:00 via Android

@sutra let's encrypt 可以 100 个

sutra

2016-09-21 09:36:21 +08:00

@bugmenein 至少可以防止运营商 HTTP 劫持插入广告。

bugmenein

2016-09-21 09:47:32 +08:00

@sutra 这是回复 #5
"被迫害妄想症的人太多了，真以为他们那点儿数据别人能看上。"

lslqtz

2016-09-21 20:03:12 +08:00

@cocochan 可以我第一个买最近需要 3-4 张。

isCyan

2016-09-23 01:41:34 +08:00 via Android

@lslqtz 诶 https://assl.loovit.net

msg7086

2016-09-23 03:07:16 +08:00

@alect 这不是谁信任谁用的问题。
我用他的证书不需要我信任，只要我所有的访问者的浏览器信任就行了。
反过来谷歌和某只把他家证书一吊销，你再信任他你也没法用。

都还没轮到要谈「数据安全」的那一步。

cc @ivmm
吊销 CA 导致 CA 破产灵车漂移的事情也不是没有过。
真吊销起来谁管你手下有多少证书。

lslqtz

2016-09-23 04:04:01 +08:00

@isCyan 签不出来不好用

guozixi

2016-09-24 13:25:04 +08:00

技术类站点不要用 StartSSL/Wosign ，可能有不少人已经本地吊销它们。
非技术站点，如果不在乎可能的风险，也不是不能用。
既然有 let ‘ s encrypt ，也是免费的，还是尽量不用可疑的 CA 了。