为什么我放弃了免费证书?

免费证书的历史并不算长。在LE推出以来,我们长期都是靠Wosign,靠Alpha的那个白嫖野卡,亦或者勤快点的跑去签90天的Comodo SSL,再或者用cPanel的土豪们直接签cPanel证书(这都尚且是后来的事了)。在SSL尚未普及的时候,证书是一个奢侈品。

后来,谷歌等大佬们认为网络加密应该是主流,2015年ISRG推出的Let’s Encrypt证书直接推波助澜助力了互联网加密的进程。因为它免费,易申请,大厂们做背书你总不怕某些厂子偷偷摸摸给你干些幺蛾子吧。

当然,谷歌在2017年开始实行的不信任政策亦是免费证书的一大推手。

本来我也不是那么特别对国内厂子颇有微词的。毕竟咱不能单单就说啊数据存放在中国境内就危险了。这是种比较有偏见的看法,所以我也尽可能的不去这么想。LE的推出直接促使很多厂子搞出来免费证书了,cPanel这个我记忆不太清楚了,可能就是LE下的产物。还有TrustAsia(虽说单域名型要1900¥,但是免费的到处都是我不信你申请不到),Encryption365 SSL巴拉巴拉,总之这LE大有当年360之势头直接一石激起千层浪吧。

LE推出到现在已经有五个年头了,但是LE明显,在为站长们提供免费证书保护网站时,也被很多人恶意使用,例如黑客。大量的事件都显示了LE的证书被滥用的情况。此时我就略有担忧LE证书的可持续性,同时LE的证书是境外发行的,虽有大厂背书但终究是免费的玩意,没有完备的持久体系支撑,国内响应事件也略长。这些都不是最大的问题。让我最担心的是本月3日发生的事件。

OCSP是证书签发过程中很重要的一环。具体是什么我也不太懂,可以看看这篇文章

这件事对国内大多数人影响应该不大。LE证书一般都会在过期前30天就尝试重新签发,所以应该影响不大。但是我心中非常警惕这件事。LE因为免费所以普遍应用于各种小厂高仿巴拉巴拉的网站上。如果某一天国家想切断了,影响肯定有,但是不会对大厂有影响,因而无所畏惧,这是否就相当于把自己的命交了出去?而且因为免费没有SLA承诺,如何保证服务的持续性?所以我就在想是否有必要替换掉LE的证书。

当然,真正让我下了决心的,是现在证书的价格。

LE证书推出市场后,真的让传统厂商慌了。虽说他们的主要受众是企业,但是也不免有大量的人使用他们的DV证书。但是LE的推出让他们DV证书毫无优势。贵不说,还就DV一个域名验证,动不动几千几百的价格想必一般人都受不起。因为很多公司开始变相降价——这就是人家聪明之处,就跟老黄的刀法一样:老黄认为AMD新卡推出,如果直接降价老卡的话虽说能打击到AMD的各种甜品卡,但是对于厂商来说是天大的打击。因而老黄就用了迂回的技巧,出新卡,提性能还小刀一切不超过原来的老卡,价格低,变相降价。证书厂商也是如此,他们无法在自家的网站上直接降价来拉低身段(逼格不就低了嘛),那就走代理商的路径变相降价。所以很多大厂低价的证书流了出来,他们是收费证书,价格不贵,大厂背书有SLA保障,自然也就成为了我的选择。想必已经有人注意到了,网站上已经换了证书有一阵子了。我现在使用的证书是Sectigo——哦,说Sectigo你可能不知道,Comodo知道了吧。Comodo自从被收购后就做了品牌升级,但是一切还是依旧的有保障。相信这种收费的证书在SLA上会有一定保障,也自然就会避免各种意外发生了。

当然,我的网站响应头现在SSL的影响因素也小了很多。;) 对于大多数网站(副业),我仍然会使用Let’s Encrypt的证书,因为它便利,值得信赖。但是,对于我最珍重的东西(例如现在你们在看的这个博客),我可能更愿意每年花上个几十块钱买个商业DV证书来为它保驾护航。

“为什么我放弃了免费证书?”的2个回复

  1. 三个主流平台:iOS、Android、Windows 和两个主流浏览器:Chrome、Firefox,上面的根证书分别由苹果、谷歌、微软、Mozilla 管理。之前发生过谷歌和火狐合作,全面吊销中国互联网信息中心证书的事件,反而是政府对这些机构无可奈何。

    至于证书变成了其他网站,这显然是 DNS 劫持。证书链想要断掉只能通过过期或者 revoke list,而 revoke list 需要 CA 签名,也没有国家插手的余地。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

*

code