这是一个创建于 3404 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://www.startssl.com/StartEncrypt
毕竟startssl才是免费SSL的鼻祖好么?哈哈
毕竟startssl才是免费SSL的鼻祖好么?哈哈
第 1 条附言 2016-06-17 18:00:57 +08:00
联系 startssl 要了一份 linux 的操作指南,说还没放网上……
https://yunpan.cn/cRBIusykd9CvF (提取码: d91e )
然后,我看文件的编辑者是个中国人……估计又是跟 wosign 合作的吧
甚至有可能是 wosign 开发的,隐约记得 wosign 之前也有个类似的工具
https://yunpan.cn/cRBIusykd9CvF (提取码: d91e )
然后,我看文件的编辑者是个中国人……估计又是跟 wosign 合作的吧
甚至有可能是 wosign 开发的,隐约记得 wosign 之前也有个类似的工具
第 2 条附言 2016-06-17 18:11:23 +08:00 
第 3 条附言 2016-06-18 12:08:43 +08:00
52 条回复 2017-01-22 18:05:23 +08:00
 | 1 imn1 2016-06-17 12:26:07 +08:00 这就叫竞争促进发展,不管质量如何,有新的竞争加入总是好事 |
 | 2 jasontse 2016-06-17 12:30:57 +08:00 via iPad 可以多域名了?这个一签就是一年方便多了啊 |
 | 3 fcicq 2016-06-17 12:32:01 +08:00 看起来不错, 不开源没关系, 只要有手动输出证书的方法应该就可以考虑了. |
 | 5 airycanon 2016-06-17 15:26:16 +08:00 这个怎么用的,我在官网找了半天,连个使用说明都没有…… |
 | 6 alex321 2016-06-17 15:28:50 +08:00 我居然还找回了好久之前注册的账号,现在允许重置登陆验证证书了。 |
 | 7 lyragosa 2016-06-17 15:42:22 +08:00 等等 OV 和 EV 都可以自动签发? |
 | 8 ehs2013 2016-06-17 15:50:17 +08:00 startssl 现在还要求实名吗 |
 | 11 YUX PRO 能签绿条的?? |
 | 12 laoyur 2016-06-17 16:41:25 +08:00 前两天才把账号续了,发现有效期变成 3 年,不用每年都去续了 证书有效期是 2 年 |
 | 13 xiaoz 2016-06-17 16:46:05 +08:00 前几天 startssl 给我发推送邮件看到消息了,可是怎么没有找到使用说明? |
 | 14 New2016 2016-06-17 16:58:53 +08:00 |
 | 15 shiny 2016-06-17 16:59:06 +08:00 @lyragosa For OV SSL and EV SSL, just charge the validation cost annually, certificate is FREE |
 | 16 mN71eOOprFyMsnPx 2016-06-17 17:40:34 +08:00 StartAPI Documentation Welcome to StartAPI! Get familiar with the StartAPI using the tutorials and references below. https://startssl.com/StartAPI/Docs |
 | 19 namebus 2016-06-18 00:39:27 +08:00 这就是 WoSign 写的文档,现在 StartSSL 基本上就是属于 360 了,当前应该是 WoSign 的团队在操作,有一段时间看到 ocsp1.wosign.com 和 ocsp.startssl.com 是同一个国内的 IP ,现在大家细心的会注意到 StartSSL 的中级证书名称都已经和 WoSign 的命名规则一致了,之前 Startcom 是有自己的命名规则的。 WoSign Class 4 EV Server CA StartCom Class 4 EV Server CA |
 | 20 alect OP @namebus 国内这些土豪那么有钱,我强烈怀疑 startssl 早就被国内控股了。 我早些年在 startssl 刚出来一年左右的时候跟 startssl 的创始人 Eddy Nigg 聊过,当时我突发奇想问如果要成为中国区代理或者合伙人要什么资质,竟然回复我有一家十万注册资本以上的注册公司即可,肯定弄不过国内的这些土豪。。 |
| 21 namebus 2016-06-18 01:07:25 +08:00 @alect Opera 已经被拿下,再拿下个 StartSSL 一点也不奇怪,更何况 WoSign 现在还离不开 Startcom 的资源,反正花的是资本市场的钱,不花白不花 |
 | 22 nvidiaAMD980X 2016-06-18 01:11:27 +08:00 via Android 看来是时候拉黑 StartSSL 的 CA 了………… |
 | 23 jason19659 2016-06-18 01:58:51 +08:00 letsencrypt 最早内测就开始用了,难用的要死,阿里云还没法用 |
 | 25 ZE3kr 2016-06-18 05:49:26 +08:00 via iPhone @nvidiaAMD980X 没必要拉黑吧,它要是真敢做恶,会自动被 Google 和各大操作系统直接拉黑,和 CNNIC 一样。 |
| 26 ZE3kr 2016-06-18 05:53:50 +08:00 via iPhone @jason19659 现在很多浏览器都会自动发送证书信息,这样只要发现有一个证书是 StartSSL 签发的但不是域名 /服务器所有者签发的,就可以证明它做恶。 |
 | 28 lslqtz 2016-06-18 08:30:28 +08:00 via iPhone |
| 29 lslqtz 2016-06-18 08:31:33 +08:00 via iPhone 顺便一提 StartSSL 已经完蛋了, EV 证书全废了。 |
| 30 lslqtz 2016-06-18 08:33:57 +08:00 Chrome 的结果(注: 360 和 Chrome 的结果一样。) http://233.dog/f_67884216.png IE 的结果 http://233.dog/f_53810729.png |
 | 31 yeyeye 2016-06-18 09:24:03 +08:00 |
| 32 ZE3kr 2016-06-18 09:42:32 +08:00 @lslqtz Mac 版本的 Chrome (51.0.2704.84) 的 EV 显示没问题。 https://s3.tlo.link/sites/2/20160618093551/Screenshot-2016-06-18-09.32.56.png HPKP 似乎不能 Preload (毕竟中间证书迟早会过期),假如首次访问就被中间人搞了,好像也没啥用,所以也需要 DANE ,同时也必须要启用 DNSSEC 。(我比较无聊在 tlo.xyz 这个域名上同时配置了 DANE 和 HPKP ) https://s3.tlo.link/sites/2/20160618094511/Screenshot-2016-06-18-09.44.26.png |
 | 33 imxieke 2016-06-18 10:08:19 +08:00 ### StartEncrypt Pro Need an account in StartSSL, get the API token and API certificate; Install and run, no any coding, support Windows server and Linux server; Not just get the SSL certificate automatically, but install it automatically; Not just Encrypted, but also identity validated to display EV Green Bar; Not just 90 days period, but up to 39 months, more than 1180 days; Not just low assurance DV SSL certificate, but also High assurance OV SSL and EV SSL; Not just for one domain, but up to 120 domains with wildcard support; For OV SSL and EV SSL, just charge the validation cost annually, certificate is FREE! |
 | 34 VmuTargh 2016-06-18 10:17:19 +08:00 @ZE3kr 有 preload 的,详见 imququ.com 不过不太可能向个人站点开放申请。 另外开 HPKP 和 DANE 的不止你一个,窝还有 @imlonghao 都是 还有 @4679kun 另外 openssl1.1.0 即将正式兹磁 DANE , DNSSEC 现在还不够普及…… 另外 HPKP 和 HSTS 是搭配来用的 @lslqtz 那是因为那帮技术懒而已,还有兼容性的考虑 另外这个客户端其实就是一个 StartAPI 的官方 example 而已,前几天给自己邮件域名签 ECC 的时候就发现丫上线了 startAPI ,顿时就感觉到丫准备玩自动化签发了没想到还真来了…… |
 | 35 lhbc 2016-06-18 10:30:36 +08:00 via Android @yeyeye 上次我立帖说 360 和 startcom 合作有利于推进国内安全发展,甚至可能使劫持无利可图最终没任何运营商搞劫持 直接被骂成狗 |
| 37 ZE3kr 2016-06-18 10:59:05 +08:00 via iPhone @VmuTargh DANE 不是需要在 DNS 解析商设置吗,为什么会在 OpenSSL 里? DANE 应该是配合 DNSSEC 试用吧。 |
 | 39 iyeatse 2016-06-18 11:28:16 +08:00 via iPhone v2 反中不是政治正确么。。。 反正这证书我已拉黑 |
| 40 VmuTargh 2016-06-18 11:40:21 +08:00 |
| 41 nvidiaAMD980X 2016-06-18 11:40:41 +08:00 via Android |
 | 44 chromee 2016-06-18 13:48:25 +08:00 via Android 沃通去年就出了 SSL 精灵 用起来还没网页直接申请好用 |
| 46 ZE3kr 2016-08-08 23:11:40 +08:00 via iPhone @vjnjc 实际上操作系统会默认信任一些证书签发商,这些签发商其实都能够签发任意域名的证书的,但证书签发商应该只受理服务器 /域名 /电子邮箱拥有者提交的证书请求。但是如果不是这样,而是随便就给签发证书,就算作恶了。但是如果作恶了,就能发现证书签发商签发的公钥,能确认就是这个 CA 签的,然后至少服务器拥有者就能知道这家服务商作恶了。 |
 | 47 vjnjc 2016-08-08 23:21:17 +08:00 @ZE3kr 所以 letsencrypt 有一部是 check owner ,在指定 url 下放一个指定内容的文件,就是为了不作恶是么? 然后被第三者拿到了 https 的证书后是不是就能做 man in the middle 攻击了,是这样嘛?这方面不是太懂,请教一下。 |
| 48 ZE3kr 2016-08-09 00:27:08 +08:00 via iPhone  1 @vjnjc 是这样的,你可以通过放文件验证, LE 也能用 DNS 添加记录验证,总之就需要验证你有这个域名,一切证书颁发商都是如此。证书请求只用提交 CSR , Private Key 在本地生成,不传输。不拿到 Private Key 而拿到证书内容毫无作用,而且证书本身就是作为 Public Key 公开的,任何人都能拿到任何支持 HTTPS 网站的证书而拿不到 Private Key 。拿到了 Private Key 就能当中间人了。其实不拿到 Key 也能当中间人,只不过这个中间人根本不能读取到传输的内容,不能篡改内容等等,也是安全的,见 SNI Proxy |
| 49 vjnjc 2016-08-09 01:08:53 +08:00 @ZE3kr 多谢指教,我最后用了 letsencrypt 的 90 天证书。用 ssllabs 的工具 test 下来是 A ,同事拿 startsll 的证书 test 下来是 F -0-,开心。 |
 | 51 wkl17 2017-01-22 02:59:33 +08:00 via Android 1 、为什么 startssl 和 let'sencrypt 的 dv 证书都得 3 个月重新验证一次? 2 、其它 class 收费的证书是否也得每隔 3 个月重新验证一次? 3 、苹果 Safari 不信任 startssl dv 证书,那它的 class2 以上的还信任吗? 4 、个人站长,但多个域名,有何收费但比较值得注册的证书推荐? 谢谢。 |
Select Language