V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
isCyan
V2EX  ›  SSL

FreeSSL 已经可以签发 DigiCert 根的 TrustAsia 免费证书了,担心 Symantec 不被信任的可以重新签发

  •  1
     
  •   isCyan · 2017-12-05 19:24:05 +08:00 · 9564 次点击
    这是一个创建于 2564 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Chrome 打算取消 Symantec 证书信任,后来 Symantec 的 PKI 服务被 DigiCert 收购。

    现在 CA 系统升级完之后,新的 TrustAsia 免费证书已经变成 DigiCert 根了,不用担心明年被取消信任了。

    腾讯云阿里云之类的说要等到 12 月 7 号能签,但是 FreeSSL 现在已经可以正常签发了。

    就是这个网站 https://freessl.org/

    我的新证书测试站 https://www.penbeat.cn/

    9bdc3fc34ed00dbb85b14a64002b2094.png

    22 条回复    2017-12-13 21:52:43 +08:00
    alect
        1
    alect  
       2017-12-05 20:38:55 +08:00
    感谢,刚签发了一个。
    v2register
        2
    v2register  
       2017-12-05 21:36:46 +08:00
    api response err: 网络异常!请稍后重试
    hotsnow
        3
    hotsnow  
       2017-12-05 21:54:31 +08:00
    安全连接失败

    连接 www.penbeat.cn 时发生错误。OCSP 回应无效的 OCSP 签署证书 (错误码:sec_error_ocsp_invalid_signing_cert )

    无法显示您尝试查看的页面,因为无法验证所收到数据的真实性。
    请联系网站的所有者以告知此问题。或者使用帮助菜单中的相关命令来报告此问题站点。
    xsn
        4
    xsn  
       2017-12-05 21:58:07 +08:00
    为什么这个网站也在用 Let's Encrypt 呢
    isCyan
        5
    isCyan  
    OP
       2017-12-05 21:58:40 +08:00
    @hotsnow 根证书是 DigiCert 2013 年的新证书,而且那个中级证书也是 3 天前才签发的,兼容性可能的确不行。但是 OCSP 应该没问题啊。我有做 OCSP Stapling 而且测过都是信任的。这是火狐浏览器吗?还是别的浏览器?什么版本?什么系统?
    isCyan
        6
    isCyan  
    OP
       2017-12-05 22:00:02 +08:00
    @xsn 你看他也提供 Let's Encrypt 证书啊,而且这又不是 TrustAsia 官方搞的
    holulu
        7
    holulu  
       2017-12-05 22:10:04 +08:00 via Android
    我的域名在这里签 TrustAsia 总是无法完成订购,Let's Encrypt 却没问题。BTW,TrustAsia 有可以开放使用的 API 么?
    Havee
        8
    Havee  
       2017-12-05 22:43:05 +08:00
    话说验证的时候只能 80 端口进去?不能 443 端口进去?
    hotsnow
        9
    hotsnow  
       2017-12-05 23:12:13 +08:00
    @isCyan #5 很老的 FireFox 27 + WinXP :p
    huaxing0211
        10
    huaxing0211  
       2017-12-06 11:31:31 +08:00
    IE10,chrome52,firefox57 一切正常,我的站后面去腾讯去更新去!
    mario85
        11
    mario85  
       2017-12-06 15:28:07 +08:00
    api response err: 500:{"partnerOrderId":"TBDdkn2j","status":[{"name":"failed","errors":[{"reason":"Backend processing Error","key":"ERROR","field":""}]}]}
    总是出这个
    h466977183
        12
    h466977183  
       2017-12-06 16:23:22 +08:00
    @holulu 看一下你的域名中是否有敏感词汇,Trustasia 的免费证书会对一些敏感词汇做限制类似于 test 这种
    h466977183
        13
    h466977183  
       2017-12-06 16:26:53 +08:00
    @mario85 你可以参考一下 https://common-buy.aliyun.com/?spm=5176.7968328.911106.btn1.54674302oIDplc&commodityCode=cas#/buy aliyun 中对 Symantec 免费的 DV 证书的说明:
    [通知] 赛门铁克 DV 证书(包括免费证书)调整为交叉根证书用于提升证书兼容性,接口调整时间为 2017 年 11 月 27 日~2017 年 12 月 17 日,在此期间 symantec DV 证书可能无法签发,介时请选择其它类型,或者其它品牌证书。
    holulu
        14
    holulu  
       2017-12-07 16:31:43 +08:00
    @h466977183 不觉得有什么敏感词。最后还是放弃,直接 Let's Encrypt 多愉快,明年还能上通配。
    Cipool
        15
    Cipool  
       2017-12-09 00:31:51 +08:00 via Android
    trustasia 不支持 ecc 证书?
    holulu
        16
    holulu  
       2017-12-09 16:23:43 +08:00   ❤️ 1
    @Cipool 试一下签 ECC,是全链 ECC 的:TrustAsia TLS ECC CA G9 -> DigiCert Global Root G3。
    Cipool
        17
    Cipool  
       2017-12-09 17:10:49 +08:00 via Android
    @holulu 我这里签完以后 cpanel 提示证书私匙都无效
    isCyan
        18
    isCyan  
    OP
       2017-12-09 18:05:41 +08:00 via Android
    @Cipool cpanel 不支持 ecc ssl
    isCyan
        19
    isCyan  
    OP
       2017-12-09 22:31:32 +08:00
    @holulu 这种还不算全链。不过证书体积肯定比 LE 和 Comodo 小了,值得一试。

    Comodo 老的客户端的证书链是一张域名证书加两张 ECC 中级,根证书叫 USERTrust 那个是 RSA。
    但是在很新的客户端上,会有一个 Comodo ECC 在信任的根证书里,读取到第一个中级证书就会匹配到 ECC 的根证书,才是全链。

    所以为了兼容性,配置服务器时一般还是要传“一张域名证书加两张 ECC 中级”这种,一共 3 张证书,加起来总的体积还是不够小
    isCyan
        20
    isCyan  
    OP
       2017-12-09 22:32:58 +08:00
    @holulu 全链不全链(根证书是不是 ECC )无所谓,这个已经达到最小化证书体积的目的了
    isCyan
        21
    isCyan  
    OP
       2017-12-09 23:16:12 +08:00
    @holulu 看错,签完一个的确是全链…… 你是对的
    namebus
        22
    namebus  
       2017-12-13 21:52:43 +08:00   ❤️ 1
    哈哈,大家盼望的结果来了,今天看到 TrustAsia 的 Root 也更新了,现在测试下来兼容性棒棒的,ECC 也是支持的
    https://myssl.com/myssl.com

    DigiCert Global Root CA
    TrustAsia TLS RSA CA
    *.myssl.com


    DigiCert Global Root CA
    TrustAsia TLS ECC CA
    *.myssl.com
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   880 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 20:37 · PVG 04:37 · LAX 12:37 · JFK 15:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.