V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
TESTFLIGHT2021
V2EX  ›  程序员

SSL 证书 是不是互联网新时代的人头税啊。。。。

  •  
  •   TESTFLIGHT2021 · 333 天前 · 5105 次点击
    这是一个创建于 333 天前的主题,其中的信息可能已经有所发展或是发生改变。
    求推荐个便宜的证书啊~~
    现在网站都要这玩意了。。。
    53 条回复    2024-02-15 16:16:44 +08:00
    Laysan
        1
    Laysan  
       333 天前
    Let's 免费
    winecat
        2
    winecat  
       333 天前
    腾讯云里也可以申请个免费的,只不过每年都要续期
    hxzhouh1
        3
    hxzhouh1  
       333 天前
    别急,还有 ipv4 呢
    smilzman
        4
    smilzman  
       333 天前 via Android
    @winecat 现在改成 3 个月了
    skiy
        5
    skiy  
       333 天前
    是的。
    VANHOR
        6
    VANHOR  
       333 天前
    @smilzman 下午刚申请的,是一年呀。
    smy116
        7
    smy116  
       333 天前
    @VANHOR 12 月 31 日之后就只有 3 个月了。
    xJogger
        8
    xJogger  
       333 天前 via Android
    le
    zerossl
    freessl.cn
    谷歌
    这几个都有免费 ssl 且可以用 acme.sh 自动续期
    或者套 cf 也可以有 ssl
    ztmzzz
        9
    ztmzzz  
       333 天前 via iPhone
    3 个月免费证书是不能用吗?
    deorth
        10
    deorth  
       333 天前 via Android
    您好,是的。
    salmon5
        11
    salmon5  
       333 天前
    本来就是的,你拉的宽带也是收费的。
    laqow
        12
    laqow  
       333 天前
    感觉全靠 chrome 和安卓一把屎一把尿把 https 的基础设施做起来
    kingjpa
        13
    kingjpa  
       333 天前   ❤️ 4
    @laqow 其实并不是 chrome ,ssl 是国内各大互联网公司联合起来,对抗 isp 运营商 在网页中劫持插入广告,维护自己的护城河而建立的。 而且这些公司是自己掏钱真金白银的, 免费给用户发证书。

    只是现在浏览器对 非 https 恶意很大,导致了国内这些大厂现在开始得瑟,要降本增笑了
    skiy
        14
    skiy  
       333 天前   ❤️ 3
    @kingjpa 国内大厂没有这个能力。就是 chromium 强推。现在默认 https 了。国内这些厂商还得买证书呢。
    当年 12306 就是倔强,自己签名。
    krystal9527
        15
    krystal9527  
       333 天前
    可以试试 Caddy
    kenvix
        16
    kenvix  
       333 天前
    Zerossl 和 letsencrypt 不都是免费的吗
    AlexPUBLIC
        17
    AlexPUBLIC  
       333 天前
    改成 3 个月后群晖就賊麻烦了,acme.sh dns challenge 用起来贼不方便
    gadore
        18
    gadore  
       333 天前 via Android
    @AlexPUBLIC https://blog.gadore.top/archives/1677915050714/
    我刚写了文章解决这事儿,哈哈哈。
    pengtdyd
        20
    pengtdyd  
       333 天前
    你不做国内市场,屁事没有。
    hongfs
        21
    hongfs  
       333 天前
    @pengtdyd 笑死了,我们又突然遥遥领先了。
    AlexPUBLIC
        22
    AlexPUBLIC  
       333 天前
    @dianso 还是比较麻烦的,以前只要一年上传一次就行,希望能像群晖 ddns 的一样支持 dns 就好了
    Atomo
        23
    Atomo  
       333 天前 via Android
    证书机构有什么很高的运营成本吗?感觉证书收费标准挺贵的
    datou
        24
    datou  
       333 天前
    DV 证书直接用免费的 LE

    不是业界头部厂商一般也不会上死贵的 OV 和 EV 证书
    ospider
        25
    ospider  
       333 天前
    不会有人真的讨厌 https 吧,想想当年运营商随意篡改页面,偷 cookie 多恶心?
    tool2d
        26
    tool2d  
       333 天前
    当年要不是 lets encrypt 横空杀出来,SSL 证书就是货真价实的收割利器。

    公司有几个网站,接到各种电话销售让买收费证书。
    ysc3839
        27
    ysc3839  
       333 天前 via Android
    证书颁发机构就类似公证处,都是可信第三方,公证处也是要收费的。
    jettzhang
        28
    jettzhang  
       333 天前
    正常,一开始免费只是为了圈用户,说不定以后微信都会收费
    ashong
        29
    ashong  
       333 天前 via iPhone
    ssl 不算,数字签名才是真的保护费
    JensenQian
        30
    JensenQian  
       333 天前 via Android
    let's zerossl 谷歌这三个都是免费
    mikewang
        31
    mikewang  
       333 天前
    SSL 证书,原理上是证书颁发机构(CA)验证你的身份,然后用自身的信誉来保证某个公钥是属于你的。
    CA 需要保证根证书密钥绝对的安全,验证申请者身份,处理证书吊销,并且管理下级机构不得滥发证书,现在还需要公布证书透明度等等...这些都是成本。失信的 CA 可以参考 CNNIC 证书移除事件。
    所以收费也是正常的,免费那是真的在做公益。如果不想给这些 CA 缴费,也可以自签名加到根证书列表,就是不被广泛信任罢了。
    chaoschick
        32
    chaoschick  
       332 天前 via Android
    只是单纯用于加密数据的话 cloudflare 的 ssl 代理就够用了
    holulu
        33
    holulu  
       332 天前
    维护 CA 签发证书也要成本。如果网站不重要可以不上,需要也可以用免费的。
    holulu
        34
    holulu  
       332 天前
    @Atomo 信任也是用钱砸出来的,还有基础设施维护。
    flyqie
        35
    flyqie  
       332 天前 via Android
    @kingjpa #13

    国内?有资料来源吗?

    这玩意跟国内互联网公司有啥特别大的关系吗?
    cslive
        36
    cslive  
       332 天前
    acme.sh 自动签发免费证书,到期自动续,或者用 caddy 自动档,自动给你配置 ssl
    code4world
        37
    code4world  
       332 天前
    @flyqie 和国内有屁关系。完全是 Google 之类大公司、互联网安全研究小组、Electronic Frontier Foundation 之类的组织推动的,现在的 Let's Encrypt 就是为了这个目的

    这不是基本常识的吗?感觉有些人大概是在平行宇宙
    goodryb
        38
    goodryb  
       332 天前
    @gadore 我之前也是类似的办法,不过使用别人打包好的 docker ,https://www.v2ex.com/t/854756
    1252603486
        39
    1252603486  
       332 天前
    可以用 acme.sh,我当时简单写了下我部署时候遇到的问题,https://blog.fireheart.space/archives/%E4%BD%BF%E7%94%A8acme%E8%87%AA%E5%8A%A8%E7%94%9F%E6%88%90%E7%BD%91%E7%AB%99%E8%AF%81%E4%B9%A6%E6%97%B6%E9%81%87%E5%88%B0%E7%9A%84%E9%97%AE%E9%A2%98 ,可以自动续签
    WeSoniC
        40
    WeSoniC  
       332 天前
    acme 或者 certbot 不是挺好的吗?我用了快两年了,除了第一次配置,两年都是自动更新,我都忘记这玩意儿的存在了。。。
    julyclyde
        41
    julyclyde  
       332 天前
    @kingjpa 做内容的企业里哪一家免费给用户提供了?
    Carlgao
        42
    Carlgao  
       332 天前
    国内的服务器用 acme 申请证书有个“墙”的问题吧,这个问题可以避免吗?
    Xinu
        43
    Xinu  
       332 天前
    @Carlgao 没有吧 今天还用了 很丝滑,申请的泛域名证书
    shellus
        44
    shellus  
       332 天前
    黑产:各位说得对,SSL 真是毒瘤
    希望我们和各位一起齐心协力推动互联网安全倒退,回到那个幸福的年代。
    和菜鸡程序员比拼 JS 混淆加密
    轻松一点直接返回假页面绕过 js 加密钓鱼用户账号密码
    真是怀念啊,想不到各位和我们想到一块去了,SSL 真是毒瘤,各位加油,抹黑它,抵制它!
    kingjpa
        45
    kingjpa  
       332 天前
    @flyqie

    链接就不发了,自行搜关键词: 腾讯等六家互联网公司联合声明:抵制流量劫持

    在 2014 年左右, 那时候 app 还没有现在这么火 ,大部分都是在 pc 网页/微信里看视频, 3 大运营商才是广告平台大佬,没有 https ,运营商可以直接劫持网页 在原有网站插入广告。 这严重影响了 几大互联网平台的利益,所以越来越多的公司开始加入抵制, 然后开始了免费的 ssl ,

    还有人说 1 年 1 续麻烦,其实以前 ssl 证书不是 1 年 1 续费, 几年的都有, 只是国内 360 控制的证书签发机构,做了违背祖宗的决定,伪造了国外某知名网站证书, 然后导致了 以后证书变成了 1 年 1 续费。

    太多人 没经历过那个万花齐放时代,那会火的都是内容性网页,贴吧 猫扑 天涯 等等。 几乎么有审查
    kingjpa
        46
    kingjpa  
       332 天前
    @skiy 你这是本末倒置,为什么以前 https 不提示告警,谷歌以前不知道 http 危险吗?

    正是因为大部分网页都使用了 https , 他才有底气给没有 https 的网页做危险阻拦
    flyqie
        47
    flyqie  
       332 天前
    @kingjpa #45

    https://en.wikipedia.org/wiki/Let's_Encrypt

    根据给出的关键词,我能搜到的资料基本都是 2015 年国内,但 Let's_Encrypt 是早于这个时间出来的啊。。

    而且,根据相关资料,改成一年是浏览器厂商搞的啊。。

    https://www.zdnet.com/article/apple-strong-arms-entire-ca-industry-into-one-year-certificate-lifespans/
    kingjpa
        49
    kingjpa  
       332 天前
    @flyqie 证书改成 1 年有效期,是因为沃通伪造了 github 的证书,然后就被吊销了签发资格,从那以后所有签发证书都是 1 年。

    你说的这个 Let's_Encrypt 以前又没有脚本签发,也没有脚本续期, 那个年代要用工具生成本地密钥 等等还是比较复杂的, 而且国内浏览器 以前是不认 Let's_Encrypt 的,以前国内大部分都是国产浏览器,每个大厂都有自己的浏览器。

    我记忆中 七牛云应该是第一家免费发 ssl 的企业 ,然后才是阿里云 百度云 腾讯云等大厂跟进,有这些大厂,才让大部分中小企业用上了免费的 ssl , 包括现在大部分企业用的肯定是这几家的免费 ssl (其实是同一家证书公司发的)

    国内这些大厂统一切换 https 应该就是 2014 年左右, 我记得百度还专门搞了个新闻 说全面进入 https 搜索时代 ,那会李彦宏风光的很,还做过全国首富,哎可惜贴吧没落了 没把握好
    flyqie
        51
    flyqie  
       332 天前
    @kingjpa #50

    想起来了。。

    当年沃通炸了以后身边不少站长都在换证书。。

    后来沃通就淡出视线了。。

    ssl 这块我之前关注的极少,因为太麻烦了,后来是大家都上了,浏览器也做了限制,才逐渐开始用上了。
    eastphoton
        52
    eastphoton  
       329 天前 via Android
    @kingjpa 那你这就不是本末倒置了吗。。拿国内进入 ssl 时代去论证整个互联网。那 chrome 只看国内就敢对非 https 告警了吗,那当然是看其他方面推动得全球都已经大多数网站 https 了。

    当初就是一些国际公司和一些国际组织在推动 ssl 全球普及,他们可不仅仅是让自己的网站用上 ssl 而是在推动其他人的网站也用上,比如像 letsencrypt 签发免费证书开了个头,才有了后来这些越来越多越来越方便的免费证书。letsencrypt 以前即使有免费也是各种限制各种麻烦。

    国内这些大厂切换到 ssl 是符合他们利益也符合技术趋势所以顺便上车了,国内大厂只是使用者,并不是推动者。
    huangzhiyia
        53
    huangzhiyia  
       276 天前
    aws 证书免费自动续签(只要绑定到有效服务上),不需要任何操作.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   939 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 19:48 · PVG 03:48 · LAX 11:48 · JFK 14:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.