关于免费SSL证书的那些事儿

杂谈 秋水逸冰 102728浏览 37评论

根据 Let’s Encrypt CA 的统计,截至 2017 年 11 月,Firefox 加载的网页中启用 HTTPS 的比例占 67%,比去年底的 45% 有巨大提升。浏览器开发商如 Mozilla, Google 准备采取下一步措施:将所有 HTTP 网站标记为不安全。
随着 HTTPS 的普及,给网站加个 SSL 证书已经是大势所趋而且很有必要了。
目前已经存在不少免费好用的 SSL 证书,因此,本文就来盘点一下关于免费 SSL 证书的那些事儿。

一、Let’s Encrypt

官方网站:https://letsencrypt.org/
点评:毫无疑问,Letsencrypt.org 是目前使用范围最为广泛的免费 SSL 证书,而且官方博客宣布,自 2018 年开始提供通配符 SSL 证书,也就是 wildcard certificates。这对于广大个人站长来说,无疑是个不错的利好消息。唯一的缺憾就是,Letsencrypt.org 发行的证书有效期只有 3 个月,虽然可以通过定时任务来自动续期。
如何申请?可以通过安装 LAMP 后,使用 lamp add 命令来自动创建 SSL 证书。也可以通过以下在线申请网站,手动申请证书。
在线申请网址1(中文):https://freessl.cn/
在线申请网址2(英文):https://www.sslforfree.com/
在线申请网址3(英文):https://gethttpsforfree.com/

2018 年 03 月 15 日更新:
Let’s Encrypt 已经正式支持发行免费的通配符证书(Wildcard SSL),需使用 certbot 或 acme.sh 手动发行。

二、TrustAsia

官方网站:https://www.trustasia.com/
点评:TrustAsia 是国内一家新兴的 SSL 证书提供商,赛门铁克(Symantec)亚太区的白金合作伙伴。随着 Symantec 的 CA 业务被 DigiCert 收购完成,其证书链也从 Symantec 变为 DigiCert。现在也开始提供免费 1 年期的 DV SSL 证书。
在线申请网址:https://freessl.cn/

三、Buypass.com

官方网站:https://www.buypass.com/
点评:Buypass.com 是一家来自挪威的拥有自己的根证书的 CA。目前免费提供有效期 180 天的 DV SSL 证书。可以通过定时任务来自动续期。
如何申请?可以通过安装 LAMP 后,使用 lamp add 命令来自动创建 SSL 证书。
或者使用 certbot 或 acme.sh 手动发行。

四、Comodo

官方网站:https://www.comodo.com/
点评:在 Let’s Encrypt 没有问世之前,Comodo 的市场占有率是第一位。随着 Let’s Encrypt 的盛行,Comodo 在 DV SSL 市场占有率逐渐下降,但依然是 SSL 的龙头企业。目前 Comodo 也提供免费 90 天的免费 DV SSL 证书。
在线申请网址1:https://secure.instantssl.com/products/SSLIdASignup1a
在线申请网址2:https://www.100tb.com/
备注:100TB 免费提供 1 年期的 Comodo 证书,前提是需要注册为会员后才能在后台申请。100TB 的规定是,发行的证书只能在他们家的产品上使用,否则会有被吊销的风险。申请时,请自备 CSR(Certificate Signing Request),这里有 CSR 在线生成工具。参考网址:https://www.csr.sh/

五、Cloudflare

官方网站:https://www.cloudflare.com/
点评:Cloudflare 很早就开始提供免费 SSL 证书,前提是你的域名要放在 Cloudflare 解析,注册为 Free Plan 就可以。
备注:只要域名加入 Cloudflare Free Plan,解析 A 记录的时候,点击 Traffic to this hostname will go through Cloudflare,就可以了。一般情况下,这个免费的 Universal SSL 里会包含一大堆别人的域名(该证书也是 Comodo 发行的)。当然,如果你比较介意这个的话,可以付费购买其 Dedicated SSL Certificate ($5/month) 或 Dedicated SSL Certificate with Custom Hostnames ($10/month)。

六、AlphaSSL

官方网站:https://www.alphassl.com/
点评:其实 AlphaSSL 并不免费提供 SSL 证书,而且价格不菲。但是 AlphaSSL 跟 SingleHop 有合作关系,免费给 SingleHop 的客户发行证书,甚至包括通配符 SSL 证书。有人根据这个规则,开发了个自动发行证书的工具。详见:https://github.com/Vittfarne/ASSL
也就是说,只要你有了 SingleHop 的服务,就可以使用你的帐号密码以及该工具去当个活雷锋了。但是,不可避免地,这样的活雷锋是当不了多久的。一般其下场会因为滥用被 SingleHop 给关闭账户。
值得注意的是,如果你申请了这个 SSL 证书,就要有 SSL 证书随时可能被吊销的觉悟。
详情始末的参考网址:https://www.lowendtalk.com/discussion/comment/2306096/#Comment_2306096
在线申请网址:https://en.assl.space/

尾声:

自从 Let’s encrypt 开始提供免费DV SSL后,SSL 证书市场就已经开始洗牌了。
值得一提的是 StarCom 原本是一家以色列的证书商,提供免费和收费的 SSL 证书,后被国内公司 360 收购。曾在 CA 市场也有一席之地,StartCom 的问题在于被发现允许对证书的签发日期进行倒填,从而达到规避 SHA1 证书在 2016 年 1 月 1 日之后被浏览器警告的目的。最终于 2017 年 11 月 16 日,StartCom 宣布终止业务,自 2018 年 1 月 1 日起停止颁发新证书,并于 2020 年停止 OCSP 和 CRL 服务。
沃通(Wosign)也属于类似情况,被 Mozilla 认为 WoSign 最严重的问题是伪造(或者说人为设置)了证书签发日期,相继被 Mozilla 和 Chrome 不信任,最终导致出局。

最后,随着 https 的广泛被适用,我们也乐于看到越来越多的 CA 开始提供免费的 DV SSL 证书。

转载请注明:秋水逸冰 » 关于免费SSL证书的那些事儿

发表我的评论
取消评论

请输入正确答案后提交评论 *超出时限。 请再次填写验证码。

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

网友最新评论 (37)

  1. 兄弟,麻烦修改下我的链接:https://www.yd631.com/(美国主机评论),https多了个S,谢谢。
    美国主机评论6年前(2018-03-04)回复
  2. 在秋水大大这, 简单地玩会了 lamp一键安装, shadowsocks, ssl 免费证书.. 即使再忙 每隔一段时间过来悄悄瞅瞅, 虽然我是个渣渣前端, 很想学php 学服务器环境
    gogh6年前(2018-02-24)回复
  3. AlwaysOnSSL 签发的证书有效期好像有一年了,1.26 自动生成 CSR 签的是六个月,1.27 之后使用自己的 CSR 签了几次都是一年 还有就是这自动生成的 CSR 私钥我到现在都不知道怎么获得....
    黎明余光6年前(2018-02-17)回复
  4. 已经把自己的网站换成了Alpha通配符证书,并且给七牛CDN也换上了Alpha通配符证书,目前网站服务器在国内运行良好!
    薅羊毛吧6年前(2018-02-17)回复
  5. 一直在用赛门铁克,貌似要到期了,快一年了
    阿里云惠网6年前(2018-01-30)回复
  6. 目前还在用第一个
    6年前(2018-01-27)回复
  7. 对亚洲诚信还是表示不是完全信任
    毛绒玩具牛6年前(2018-01-25)回复
  8. 收藏下,准备过段时间网站过渡到https
    毛壮壮博客6年前(2018-01-22)回复
  9. 感謝分享。我也是之前在騰訊云上面看到了AT的免費SSL,趕緊擼了兩個過來。總的來說就是幾分鐘搞定,幾秒鐘配置。雖然過程比LetsE麻煩了一點,但是屬於一勞久逸,畢竟證書可以管用一年,所以還是比較推薦的。
    iammsf6年前(2018-01-12)回复
  10. 其实一些便宜的终身SSL也是不错的,比如hostinger的Lifetime SSL,9.9刀终身使用,以后不需要任何续费,和4刀一年的Comodo PositiveSSL也是可以接受的,使用这家主机可以免费使用SSL,不需要续期。很多商家只要用他们的主机都有免费的SSL可以获得。
    主机哈导航6年前(2018-01-11)回复
  11. 十分感谢,用上了亚洲诚信的一年期SSL。
    弈蘭6年前(2018-01-10)回复
  12. 好文,目前除了 AlwaysOnSSL 文中介绍的其他几家都用过或在用,说下我的感受 Let’s Encrypt 算是真正的开启了 HTTPS 的时代,他的证书目前接受度也挺高的,因为免费嘛,各种一键脚本申请也方便,缺点就是三个月一换,虽然也有定时续期的脚本,像我还要绑定 HTTP PKP 确实有点不方便,一般的小站我现在都用 Let's E 了。TrustAsia 目前在国内还挺多的,原因是和七牛,阿里云,腾讯云之类的合作,这些云免费的SSL里面推的就是TrustAsia,用起来也挺方便的,免费一年,虽然国产,上游赛门铁克还是可以的。Comodo 的话确实是龙头,在付费的领域应该也是用的最多的,老牌的好处就是浏览器兼容性很高,其实有正规代理商渠道,三年十多刀的DV。Cloudflare 免费的那个的话就只能说可以用,直接在证书里面都能看到其他同样绑定这个证书别人的域名,确实就有点不爽,那个5刀每月的,你不可以去看证书的话和那免费的也没多大差别,可能就是安全性高一点。另外 Cloudflare 还有自己家签发的证书,是给回源 HTTPS 中间层用的,但不被浏览器信任。AlphaSSL 那个就没啥可说的了,目前在用的大多估计都是“免费”的来的,也说不准啥时候就掉了,它的根证书是 GlobalSign 的。 目前 Let's E 的野卡已经可以签发了,不过还是 fake 状态,是测试证书,预计是2月底出正式的证书(不跳票的话)
    老鬼6年前(2018-01-07)回复
  13. 请教下秋水逸冰大师,我潜水关注大师很久了,都是经常来偷代码用,也谢谢大师的代码让我好奇的爱上了强大的Linux世界,我只能说是一个还没入门的新手,关于你的好几篇关于SSL证书的申请方法,我有申请到,但是却不会用SSL。很尴尬,手上的SSL证书在邮箱里躺了好几个月了,另,我想大师指点下,Linux初学者的学习方法和方向,我曾去到图书馆内去想找书自学,但是看到满满的整堆的书,有种不知道从何学起的感觉。我喜欢网络安全,和你的这些脚本代码,开发系统,网络程序开发像ss,还有像架设各种服务,包括专业的v服务,这些东西,我在图书管里竟不知道从何学起,很迷茫。还望大师指点方向才好,谢谢大师!
    Adam6年前(2018-01-07)回复
    • 谢谢,不敢当。Linux 及 Shell 入门的话,还是推荐你看《鸟哥的Linux私房菜》系列的书。
      秋水逸冰6年前(2018-01-07)回复
      • 提醒一下 鸟哥的私房菜有第四版了 优点是对应的CentOS版本也比较新 缺点是目前好像没有对应简体中文版 而台湾的繁中对许多词汇的说法是跟简体是不一样的
        lclancey6年前(2018-01-08)回复
  14. letsencrypt.org 的认可度还是非常高的,目前我自己也在使用中! 有时候如果不折腾、自己的服务器稳定的话其实也可以去买个三年有效期的便宜货,我也不喜欢三个月就续费的这种!
    主机测评6年前(2018-01-06)回复
    • 其实我也认为SSL证书还是一年一更比较好,90天一更那是 Google 那种大站的做法。
      秋水逸冰6年前(2018-01-07)回复
  15. 你们在淘宝上看到的几块钱一年的 Comodo 证书,都是从 100TB 撸来的,零成本。想当年我就被坑过一次。
    秋水逸冰6年前(2018-01-06)回复
    • 很难想象你这样的大神,还有被坑的时候
      sky6年前(2018-01-06)回复
    • Comodo免费3年的证书,前提是用赛门铁克证书,然后申请 https://www.namecheap.com/symantec-replace/
      神爱6年前(2018-01-08)回复
      • 但是我使用Comodo 火狐浏览器显示不信任,然后我就又换回赛门铁克了
        guiyun6年前(2018-02-16)回复