分类: 域名

domain

  • lookssl免费的DV SSL证书

    lookssl免费的DV SSL证书

    SSL证书一直是我们所追求网站安全性所必须的,除了各大云提供的各种免费SSL证书,近期我们又发现一家lookssl免费的DV SSL证书。什么来头暂时未知,但是其免费提供Certum–一家波兰老牌的SSL证书的子品牌ROOT CA的证书。

    可惜只提供RSA算法的证书,不提供ECC算法证书。有需要的朋友可以去申请。https://www.lookssl.com/

  • SSL/TLS加密检测脚本testssl.sh

    以前SSL检测常用工具就是ssllabs的:https://www.ssllabs.com/ssltest/ 以及国内的https://myssl.com/.

    检测方法很简单,输入在线检测即可。

    今天在网上有发现一款好用的SSL检测脚本:testssl.sh:https://testssl.sh/

    检测方法就是下载源码,运行:

    git clone --depth 1 https://github.com/drwetter/testssl.sh.git

    然后进入目录:

    运行:帮助shuom

    testssl.sh --help

    运行检测:

    ./testssl.sh yourdomain.com

    检测结果类型如下:

    ###########################################################
        testssl.sh       3.0beta from https://testssl.sh/dev/
        (470f8b6 2018-04-28 22:38:53 -- )
    
          This program is free software. Distribution and
                 modification under GPLv2 permitted.
          USAGE w/o ANY WARRANTY. USE IT AT YOUR OWN RISK!
    
           Please file bugs @ https://testssl.sh/bugs/
    
    ###########################################################
    
     Using "OpenSSL 1.0.2-chacha (1.0.2i-dev)" [~183 ciphers]
     on VM_122_230_centos:./bin/openssl.Linux.x86_64
     (built: "Jun 22 19:32:29 2016", platform: "linux-x86_64")
    
    
     Start 2018-04-29 23:25:20        -->> 119.28.6.33:443 (zach.xin) <<--
    
     rDNS (119.28.6.33):     --
     Service detected:       HTTP
    
    
     Testing protocols via sockets except NPN+ALPN 
    
     SSLv2      not offered (OK)
     SSLv3      not offered (OK)
     TLS 1      offered
     TLS 1.1    offered
     TLS 1.2    offered (OK)
     TLS 1.3    not offered
     NPN/SPDY   h2, http/1.1 (advertised)
     ALPN/HTTP2 h2, http/1.1 (offered)
    
     Testing cipher categories 
    
     NULL ciphers (no encryption)                  not offered (OK)
     Anonymous NULL Ciphers (no authentication)    not offered (OK)
     Export ciphers (w/o ADH+NULL)                 not offered (OK)
     LOW: 64 Bit + DES encryption (w/o export)     not offered (OK)
     Weak 128 Bit ciphers (SEED, IDEA, RC[2,4])    not offered (OK)
     Triple DES Ciphers (Medium)                   not offered (OK)
     High encryption (AES+Camellia, no AEAD)       offered (OK)
     Strong encryption (AEAD ciphers)              offered (OK)
    
    
     Testing robust (perfect) forward secrecy, (P)FS -- omitting Null Authentication/Encryption, 3DES, RC4 
    
     PFS is offered (OK)          ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA 
     Elliptic curves offered:     prime256v1 secp384r1 secp521r1 X25519 
    
    
     Testing server preferences 
    
     Has server cipher order?     yes (OK)
     Negotiated protocol          TLSv1.2
     Negotiated cipher            ECDHE-RSA-AES128-GCM-SHA256, 256 bit ECDH (P-256)
     Cipher order
        TLSv1:     ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA 
        TLSv1.1:   ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA 
        TLSv1.2:   ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA
                   ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES256-SHA AES256-GCM-SHA384 AES256-CCM8 AES256-CCM AES256-SHA256 AES256-SHA 
    
    
     Testing server defaults (Server Hello) 
    
     TLS extensions (standard)    "renegotiation info/#65281" "EC point formats/#11" "session ticket/#35" "status request/#5" "next protocol/#13172" "max fragment length/#1"
                                  "application layer protocol negotiation/#16" "encrypt-then-mac/#22" "extended master secret/#23"
     Session Ticket RFC 5077 hint 600 seconds, session tickets keys seems to be rotated < daily
     SSL Session ID support       yes
     Session Resumption           Tickets: yes, ID: yes
     TLS clock skew               Random values, no fingerprinting possible 
     Signature Algorithm          SHA256 with RSA
     Server key size              RSA 2048 bits
     Server key usage             Digital Signature, Key Encipherment
     Server extended key usage    TLS Web Server Authentication, TLS Web Client Authentication
     Serial / Fingerprints        049CA937F746C261709C994D3484D78B958A / SHA1 C654AA97C778B10F79B05E12F679146255984AC8
                                  SHA256 F1137B78E829E1AEC2F238F931835A0090DBCF01C6F57B48F5CF16C2295B0EB4
     Common Name (CN)             zach.xin
     subjectAltName (SAN)         www.zach.xin zach.xin 
     Issuer                       Let's Encrypt Authority X3 (Let's Encrypt from US)
     Trust (hostname)             Ok via SAN and CN (same w/o SNI)
     Chain of trust               Ok   
     EV cert (experimental)       no 
     Certificate Validity (UTC)   78 >= 30 days (2018-04-18 19:06 --> 2018-07-17 19:06)
     # of certificates provided   2
     Certificate Revocation List  --
     OCSP URI                     http://ocsp.int-x3.letsencrypt.org
     OCSP stapling                offered
     OCSP must staple extension   --
     DNS CAA RR (experimental)    not offered
     Certificate Transparency     yes (certificate extension)
    
    
     Testing HTTP header response @ "/" 
    
     HTTP Status Code             403 Forbidden
     HTTP clock skew              0 sec from localtime
     Strict Transport Security    not offered
     Public Key Pinning           --
     Server banner                nginx
     Application banner           --
     Cookie(s)                    (none issued at "/") -- maybe better try target URL of 30x
     Security headers             --
     Reverse Proxy banner         --
    
    
     Testing vulnerabilities 
    
     Heartbleed (CVE-2014-0160)                not vulnerable (OK), no heartbeat extension
     CCS (CVE-2014-0224)                       not vulnerable (OK)
     Ticketbleed (CVE-2016-9244), experiment.  not vulnerable (OK)
     ROBOT                                     not vulnerable (OK)
     Secure Renegotiation (CVE-2009-3555)      not vulnerable (OK)
     Secure Client-Initiated Renegotiation     not vulnerable (OK)
     CRIME, TLS (CVE-2012-4929)                not vulnerable (OK)
     BREACH (CVE-2013-3587)                    no HTTP compression (OK)  - only supplied "/" tested
     POODLE, SSL (CVE-2014-3566)               not vulnerable (OK)
     TLS_FALLBACK_SCSV (RFC 7507)              Downgrade attack prevention supported (OK)
     SWEET32 (CVE-2016-2183, CVE-2016-6329)    not vulnerable (OK)
     FREAK (CVE-2015-0204)                     not vulnerable (OK)
     DROWN (CVE-2016-0800, CVE-2016-0703)      not vulnerable on this host and port (OK)
                                               make sure you don't use this certificate elsewhere with SSLv2 enabled services
                                               https://censys.io/ipv4?q=F1137B78E829E1AEC2F238F931835A0090DBCF01C6F57B48F5CF16C2295B0EB4 could help you to find out
     LOGJAM (CVE-2015-4000), experimental      not vulnerable (OK): no DH EXPORT ciphers, no DH key detected
     BEAST (CVE-2011-3389)                     TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA 
                                               VULNERABLE -- but also supports higher protocols  TLSv1.1 TLSv1.2 (likely mitigated)
     LUCKY13 (CVE-2013-0169), experimental     potentially VULNERABLE, uses cipher block chaining (CBC) ciphers with TLS. Check patches
     RC4 (CVE-2013-2566, CVE-2015-2808)        no RC4 ciphers detected (OK)
    
    
     Testing 364 ciphers via OpenSSL plus sockets against the server, ordered by encryption strength 
    
    Hexcode  Cipher Suite Name (OpenSSL)       KeyExch.   Encryption  Bits     Cipher Suite Name (RFC)
    -----------------------------------------------------------------------------------------------------------------------------
     xc030   ECDHE-RSA-AES256-GCM-SHA384       ECDH 256   AESGCM      256      TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384              
     xc028   ECDHE-RSA-AES256-SHA384           ECDH 256   AES         256      TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384              
     xc014   ECDHE-RSA-AES256-SHA              ECDH 256   AES         256      TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA                 
     xcca8   ECDHE-RSA-CHACHA20-POLY1305       ECDH 253   ChaCha20    256      TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256        
     x9d     AES256-GCM-SHA384                 RSA        AESGCM      256      TLS_RSA_WITH_AES_256_GCM_SHA384                    
     xc0a1   AES256-CCM8                       RSA        AESCCM8     256      TLS_RSA_WITH_AES_256_CCM_8                         
     xc09d   AES256-CCM                        RSA        AESCCM      256      TLS_RSA_WITH_AES_256_CCM                           
     x3d     AES256-SHA256                     RSA        AES         256      TLS_RSA_WITH_AES_256_CBC_SHA256                    
     x35     AES256-SHA                        RSA        AES         256      TLS_RSA_WITH_AES_256_CBC_SHA                       
     xc02f   ECDHE-RSA-AES128-GCM-SHA256       ECDH 256   AESGCM      128      TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256              
     xc027   ECDHE-RSA-AES128-SHA256           ECDH 256   AES         128      TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256              
     xc013   ECDHE-RSA-AES128-SHA              ECDH 256   AES         128      TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA                 
     xc0a0   AES128-CCM8                       RSA        AESCCM8     128      TLS_RSA_WITH_AES_128_CCM_8                         
     xc09c   AES128-CCM                        RSA        AESCCM      128      TLS_RSA_WITH_AES_128_CCM                           
     x9c     AES128-GCM-SHA256                 RSA        AESGCM      128      TLS_RSA_WITH_AES_128_GCM_SHA256                    
     x3c     AES128-SHA256                     RSA        AES         128      TLS_RSA_WITH_AES_128_CBC_SHA256                    
     x2f     AES128-SHA                        RSA        AES         128      TLS_RSA_WITH_AES_128_CBC_SHA                       
    
    
     Running client simulations via sockets 
    
     Android 4.2.2                TLSv1.0 ECDHE-RSA-AES128-SHA, 256 bit ECDH (P-256)
     Android 4.4.2                TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256, 256 bit ECDH (P-256)
     Android 5.0.0                TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256, 256 bit ECDH (P-256)
     Android 6.0                  TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256, 256 bit ECDH (P-256)
     Android 7.0                  TLSv1.2 ECDHE-RSA-CHACHA20-POLY1305, 253 bit ECDH (X25519)
     Chrome 57 Win 7              TLSv1.2 ECDHE-RSA-CHACHA20-POLY1305, 253 bit ECDH (X25519)
     Chrome 65 Win 7              TLSv1.2 ECDHE-RSA-CHACHA20-POLY1305, 253 bit ECDH (X25519)
     Firefox 53 Win 7             TLSv1.2 ECDHE-RSA-CHACHA20-POLY1305, 253 bit ECDH (X25519)
     Firefox 59 Win 7             TLSv1.2 ECDHE-RSA-CHACHA20-POLY1305, 253 bit ECDH (X25519)
     IE 6 XP                      No connection
     IE 7 Vista                   TLSv1.0 ECDHE-RSA-AES128-SHA, 256 bit ECDH (P-256)
     IE 8 Win 7                   TLSv1.0 ECDHE-RSA-AES128-SHA, 256 bit ECDH (P-256)
     IE 8 XP                      No connection
     IE 11 Win 7                  TLSv1.2 ECDHE-RSA-AES128-SHA256, 256 bit ECDH (P-256)
     IE 11 Win 8.1                TLSv1.2 ECDHE-RSA-AES128-SHA256, 256 bit ECDH (P-256)
     IE 11 Win Phone 8.1          TLSv1.2 ECDHE-RSA-AES128-SHA256, 256 bit ECDH (P-256)
     IE 11 Win 10                 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256, 256 bit ECDH (P-256)
     Edge 13 Win 10               TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256, 256 bit ECDH (P-256)
     Edge 13 Win Phone 10         TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256, 256 bit ECDH (P-256)
     Edge 15 Win 10               TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256, 253 bit ECDH (X25519)
     Opera 17 Win 7               TLSv1.2 ECDHE-RSA-AES128-SHA256, 256 bit ECDH (P-256)
     Safari 9 iOS 9               TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256, 256 bit ECDH (P-256)
     Safari 9 OS X 10.11          TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256, 256 bit ECDH (P-256)
     Safari 10 OS X 10.12         TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256, 256 bit ECDH (P-256)
     Apple ATS 9 iOS 9            TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256, 256 bit ECDH (P-256)
     Tor 17.0.9 Win 7             TLSv1.0 ECDHE-RSA-AES128-SHA, 256 bit ECDH (P-256)
     Java 6u45                    TLSv1.0 AES128-SHA
     Java 7u25                    TLSv1.0 ECDHE-RSA-AES128-SHA, 256 bit ECDH (P-256)
     Java 8u161                   TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256, 256 bit ECDH (P-256)
     Java 9.0.4                   TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256, 256 bit ECDH (P-256)
     OpenSSL 1.0.1l               TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256, 256 bit ECDH (P-256)
     OpenSSL 1.0.2e               TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256, 256 bit ECDH (P-256)
    
     Done 2018-04-29 23:27:55 [ 158s] -->> 119.28.6.33:443 (zach.xin) <<--
    

     

  • DNS解析迁移回国内

    最近中美贸易关系闹得挺乱,突然发现在国际政治面前,一切遮羞布都是渣渣。

    为了规避中中美国际政治风险,把源CloudFlare的域名解析全部迁移回国内。

    本来想换位百度DNS智能云解析 ,后来发现它只能解析已备案域名,所以没备案的就没戏了。

    另外百度的DNS域名解析识别备案也出错,一个.XIN域名总是识别为没备案。于是我只放了一个域名在上面,买了个9快钱的普惠版凑合用着。百度解析没有什么特殊的功能。

     

    在闲逛的时候无意发现一家新的云安全服务商,有免费的域名解析服务:上海云盾信息技术有限公司(YUNDUN) ,主要业务为云安全服务。旗下业务有安全的DNS云解析,本来以为平淡无奇,进去发现还是不错,有完善的分区解析,比DNSPOD那小气劲可算是大方多了。看其VIP服务差异不大。还是希望它能够办下去,毕竟国内靠谱的域名解析服务不多了。

    回过头来想想,中兴这次事件也为我们的基础服务敲响了警钟,虽然网络无国界,自由平等开源其实很多时候还是受到政治制约的。

    从这些云解析中看来,还是希望国内的云服务商都争气,完善好我们自己的网络和服务吧。截止目前,我一直在使用着阿里云、腾讯云、京东云,国外的VPS也很少用了。

  • Cloudflare 1.1.1.1公共DNS上线Cloudflare Public DNS

    什么是公共DNS

    我们都知道,我们要能上网,就必须要使用DNS。这个DNS可能是你的运营商提供给你的,也可以是一些其它组织提供的,比如我们熟知的谷歌的8.8.8.8,国内114dns的114.114.114.114. 。他们负责给我们的请求提供解析服务。

    不过首先要明白,公共DNS不是:
    • 不是根服务器
    • 不是权威dns托管商,不提供域名注册等服务,比如万网和DNSpod
    • 不是权威dns,不针对个别域名进行解析

    公共DNS服务的特点就是服务的域名数量巨大,用户数多,同时要求具有安全性和抗攻击性,低延迟(响应快),无拦截(无广告)以及对解析成功率要求非常的高。

    近期,深耕于域名解析DNS和CDN的国外知名服务商Cloudflare上线了其下的免费公共DNS服务,其与 APNIC合作推出了免费的公共DNS解析服务:

    DNS解析服务IP为:

    IPV4:1.1.1.1    1.0.0.1

    IPV6:2001:2001:: 2001:2001:2001::

    从IP都直接看来,颇具诚意。

    以前国外特色的DNS公共DNS解析服务有:

    GOOGLE IPV4:8.8.8.8    8.8.4.4

    Quad 9 (IBM):9.9.9.9

  • Let’s Encrypt 宣布 ACME v2 正式支持通配符证书

    Let’s Encrypt 宣布 ACME v2 正式支持通配符证书

    Let’s Encrypt 宣布 ACME v2 正式支持通配符证书。

    证书周期仍然为3个月,通配符证书需要acme.sh dnsapi模式.

    以前的certbot验证方式只是从单域名的DNS模式。

    Let’s Encrypt 宣布 ACME v2 正式支持通配符证书。Let’s Encrypt 宣称将继续清除 Web 上采用 HTTPS 的障碍,让每个网站轻松获取管理证书。

     

    v2 vs v1

    ACME v2 与 v1 API 有许多不同之处,值得注意的变更:

    1. 授权/签发流程已改变
    2. JWS 请求授权以改变
    3. JWS 请求体的”resource”字段被新的 JWS 请求头“url”替换
    4. 目录端点/资源重命名

    ACMEv 是 ACME 协议的更新版本,考虑到行业专家和其他组织可能希望在某天使用 ACME 协议进行证书颁发和管理,它已经通过 IETF 标准流程。

    通配符证书 允许使用单个证书来保护域的所有子域。在某些情况下,通配符证书可以使证书更容易管理,以帮助使 Web 达到 100% 的 HTTPS 协议。但是对于大多数用例,Let’s Encrypt 仍然推荐使用非通配符证书。

    通配符证书只能通过 ACMEv2 获得。为了将 ACMEv2 用于通配符或非通配符证书,你需要一个已更新且支持 ACMEv 的客户端。Let’s Encrypt 希望所有客户和订户转换为 ACMEv2,尽管 ACMEv1 API 还没有“报废”。

    另外,通配符域必须使用 DNS-01 质询类型进行验证。这表明你需要修改 DNS TXT 记录才能演示对域的控制以获得通配符证书。

    更多有关 ACME v2 和通配符证书的技术信息,请参阅此文章:

    • https://community.letsencrypt.org/t/acme-v2-production-envrionment-wildcards/55578

    通配符证书解释

    域名通配符证书类似 DNS 解析的泛域名概念,主域名签发的通配符证书可以在所有子域名中使用。

    通配符证书的优势

    域名通配符证书最大的特点就是申请之后可以部署在子域名使用, 因此对于子域名,没有必要再次申请新的证书。

    而价格方面,通配符域名证书通常会比单域名证书高几倍, 不过价格高的主要原因自然是使用的便利性。

  • .xyz域名解析管理的坑

    .xyz一直是国内比较心水的域名,作为字母域名,一直从小唱着字母歌,做着XYZ的方程式长大的中国民众来说,很多人很喜欢这个后缀域名。

    在早之前注册了一个.xyz域名,每次更改解析服务商或者更改域名解析记录,总会出现注册局的根域更新很慢。

    都21世纪了,还要等个好久。前天更改了域名解析服务商,三天过去了,今天查询还是找不到A记录。我也是醉了。

    随便搜索了一下,.xyz的注册局确认有时候抽风不靠谱。详见:https://www.v2ex.com/t/246719

    只能说各自珍重吧。

    PS,用的国外的解析无法传递到国外根域,换成CloudFlare竟然好了。

    See U!

     

  • letsencrypt新认证方式和泛域名支持延迟至4月发布ACMEv2 and Wildcard Launch Delay

    根据letsencrypt最新消息,原定于2月底发布支持的新认证方式和泛域名支持证书,由于测试及认证,预计延迟两周发布。

    https://community.letsencrypt.org/t/acmev2-and-wildcard-launch-delay/53654

    拭目以待。

     

  • 关于免费SSL证书的那些事儿

    根据 Let’s Encrypt CA 的统计,截至 2017 年 11 月,Firefox 加载的网页中启用 HTTPS 的比例占 67%,比去年底的 45% 有巨大提升。浏览器开发商如 Mozilla, Google 准备采取下一步措施:将所有 HTTP 网站标记为不安全。
    随着 HTTPS 的普及,给网站加个 SSL 证书已经是大势所趋而且很有必要了。
    目前已经存在不少免费好用的 SSL 证书,因此,本文就来盘点一下关于免费 SSL 证书的那些事儿。

    一、Let’s Encrypt

    官方网站:https://letsencrypt.org/
    点评:毫无疑问,Let’s Encrypt 是目前使用范围最为广泛的免费 SSL 证书,而且官方博客宣布,自 2018 年开始提供通配符 SSL 证书,也就是 wildcard certificates。这对于广大个人站长来说,无疑是个不错的利好消息。唯一的缺憾就是,Let’s Encrypt 发行的证书有效期只有 3 个月,虽然可以通过定时任务来自动续期。
    如何申请?可以通过安装 LAMP 后,使用 lamp add 命令来自动创建 SSL 证书。也可以通过以下在线申请网站,手动申请证书。
    在线申请网址1(中文):https://freessl.org/
    在线申请网址2(英文):https://www.sslforfree.com/
    在线申请网址3(英文):https://gethttpsforfree.com/

    二、TrustAsia

    官方网站:https://www.trustasia.com/
    点评:TrustAsia 是国内一家新兴的 SSL 证书提供商,赛门铁克(Symantec)亚太区的白金合作伙伴。随着 Symantec 的 CA 业务被 DigiCert 收购完成,其证书链也从 Symantec 变为 DigiCert。现在也开始提供免费 1 年期的 DV SSL 证书。
    在线申请网址:https://freessl.org/

    三、AlwaysOnSSL

    官方网站:https://alwaysonssl.com/
    点评:AlwaysOnSSL 是一个新的免费和自动认证机构。它由 CertCenter 和 Digicert 运行,免费提供 6 个月的 DV SSL 证书。
    在线申请网址:https://alwaysonssl.com/

    四、Comodo

    官方网站:https://www.comodo.com/
    点评:在 Let’s Encrypt 没有问世之前,Comodo 的市场占有率是第一位。随着 Let’s Encrypt 的盛行,Comodo 在 DV SSL 市场占有率逐渐下降,但依然是 SSL 的龙头企业。目前 Comodo 也提供免费 90 天的免费 DV SSL 证书。
    在线申请网址1:https://secure.instantssl.com/products/SSLIdASignup1a
    在线申请网址2:https://www.100tb.com/
    备注:100TB 免费提供 1 年期的 Comodo 证书,前提是需要注册为会员后才能在后台申请。100TB 的规定是,发行的证书只能在他们家的产品上使用,否则会有被吊销的风险。申请时,请自备 CSR(Certificate Signing Request),这里有 CSR 在线生成工具。参考网址:https://www.csr.sh/

    五、Cloudflare

    官方网站:https://www.cloudflare.com/
    点评:Cloudflare 很早就开始提供免费 SSL 证书,前提是你的域名要放在 Cloudflare 解析,注册为 Free Plan 就可以。
    备注:只要域名加入 Cloudflare Free Plan,解析 A 记录的时候,点击 Traffic to this hostname will go through Cloudflare,就可以了。一般情况下,这个免费的 Universal SSL 里会包含一大堆别人的域名(该证书也是 Comodo 发行的)。当然,如果你比较介意这个的话,可以付费购买其 Dedicated SSL Certificate ($5/month) 或 Dedicated SSL Certificate with Custom Hostnames ($10/month)。

    六、AlphaSSL

    官方网站:https://www.alphassl.com/
    点评:其实 AlphaSSL 并不免费提供 SSL 证书,而且价格不菲。但是 AlphaSSL 跟 SingleHop 有合作关系,免费给 SingleHop 的客户发行证书,甚至包括通配符 SSL 证书。有人根据这个规则,开发了个自动发行证书的工具。详见:https://github.com/Vittfarne/ASSL
    也就是说,只要你有了 SingleHop 的服务,就可以使用你的帐号密码以及该工具去当个活雷锋了。但是,不可避免地,这样的活雷锋是当不了多久的。一般其下场会因为滥用被 SingleHop 给关闭账户。
    值得注意的是,如果你申请了这个 SSL 证书,就要有 SSL 证书随时可能被吊销的觉悟。
    详情始末的参考网址:https://www.lowendtalk.com/discussion/comment/2306096/#Comment_2306096
    在线申请网址:https://en.assl.space/

    尾声:

    自从 Let’s encrypt 开始提供免费DV SSL后,SSL 证书市场就已经开始洗牌了。
    值得一提的是 StarCom 原本是一家以色列的证书商,提供免费和收费的 SSL 证书,后被国内公司 360 收购。曾在 CA 市场也有一席之地,StartCom 的问题在于被发现允许对证书的签发日期进行倒填,从而达到规避 SHA1 证书在 2016 年 1 月 1 日之后被浏览器警告的目的。最终于 2017 年 11 月 16 日,StartCom 宣布终止业务,自 2018 年 1 月 1 日起停止颁发新证书,并于 2020 年停止 OCSP 和 CRL 服务。
    沃通(Wosign)也属于类似情况,被 Mozilla 认为 WoSign 最严重的问题是伪造(或者说人为设置)了证书签发日期,相继被 Mozilla 和 Chrome 不信任,最终导致出局。

    最后,随着 https 的广泛被适用,我们也乐于看到越来越多的 CA 开始提供免费的 DV SSL 证书。

    文章来源:秋水逸冰 » 关于免费SSL证书的那些事儿