用了一次 StartSSL 免费证书，觉得流程很简单（比 Let's Encrypt 简单）。不知道有什么长期使用上的坑？比如一年到期 renew 时有没有意外？

PKI 服务器在大数字机房, 自己斟酌

@VmuTargh 这有什么关系。签发证书你的私钥是不上传给 CA 的，实在不行换家 CA 签个新的

@VmuTargh 就算整个 CA 被端了，也是不能解密数据的。

已吊销根证书

@VmuTargh 在大数字机房又怎样 敢干坏事 就会像 CNNIC 一样被取消根证书信任
还有， Let's encrypt 由国内的云片网络提供网络，你咋不提这个？
https 是非对称加密，只要你私匙不泄漏，没什么问题。真要大动干戈的中间人攻击你，还不如直接爆破你的 vps

LE 是可以用脚本自动续期的啊，怎么也比 StartSSL 强一点吧。证书有效期短是好事，安全。

@aofall 话说。。是私钥吧。。。

以前我也误读私匙。。直到我写这个词的时候才发现。。。

@shiji
@aofall 但我可以再签一个呀 然后实现 MITM

@shiji
@aofall
我自己站点也用 StartSSL, 之所以说这句是因为 v 站一大堆"被害妄想症", 不要到时发现"哦, 这丫居然是 360 的***"然后各种骂

@aofall 逢中必黑，逢共比反，这就叫做政治正确。至于有没有理，对不对，谁在乎。

@Radeon 我的建议是不要用 StartSSL 自己家的 CSR 生成工具, 这玩意还是自己本地 openssl 生成比较放心

@VmuTargh 是的，我就是本地的 Linux 机器上的 openssl 工具生成的 CSR 。一年到期 renew 时是怎么样？有没有问题？

@Radeon renew 应该没啥问题, StartSSL 在快到期的时候会发 email 提示你 renew 证书, 还有 Auth 证书记得备份, startssl 是通过证书登录的, 丢了比较麻烦

@Andy1999 然后被吊销根证书？不如查水表来得方便，而且还要啥有啥
还有 你被降权了 收不到你的回复提醒
@a1058021348 感谢提醒……
@xuan880 也是够了 不予评价
@VmuTargh 我还用 Wosign+LE 呢 StartSSL 的认证不知道为什么一直过不去

@aofall 认证过不去...... 卡在邮箱验证了吧, 某些邮箱收不了 startssl 邮件也是醉了

@aofall 用 qq.com 的邮箱可以轻松收信

@aofall 云片只是赞助而已

不要用 QQ
不要用微信
手动吊销 cnnic 根证书
手动吊销 startssl 根证书



还有吗？

@aofall 收不到提醒也可能只是臨時抽風或者你自己被降權。


StartSSL 除了會“隨機”觸發延遲簽發(告知你需要等幾小時到幾個工作日不等以備他們人工審核然後再給你簽)，以及週末例行維護不簽證書之外，應該沒什麼坑了。

StartSSL 的 CRL 、 OCSP 等服务在国内是解析到 WoSign 的服务器，还不是为了国内的初级阶段网络环境访问方便。难道像以前 EdgeCast 被污染， DigiCert 、 Mozilla 、 WordPress 等网站遭殃，就好过了？
GlobalSign 还用百度云减速呢，难道也去吊销根证书？
这里还用的 TrustAsia ，是不是也要吊销中级证书？

安利安利 let's encrypt ～ dnspod 和 cloudxns dns 认证方式 https://github.com/xdtianyu/scripts/tree/master/le-dns
目录认证 https://github.com/xdtianyu/scripts/blob/master/lets-encrypt/README-CN.md

我不是很懂，如果真要是 startssl 归 360 了那某些人搞审查是不是就容易了

主要是使用 StartSSL 免费证书的网站有被墙的黑历史，所以最好是选择基数比较大（现在已经颁发了 140 万个左右了）的 Let's Encrypt 比较保险

要再发一个邮件重签，没有续费的概念吧，所以我买了个便宜的 comodo

@xuan880
在网络监管这个问题上上，“逢中必黑，逢共比反”这些人恰恰和床破一样，他们是在说大实话而已，你这种人却是蔡桓公。

在其它领域不一定了，得具体问题具体分析。

@Cu635 如果是民逗圈的说这些话不奇怪，因为那里很多人不长脑子，但这里是技术圈，也是随便可以忽悠的吗。现在说的是站长立场，如果作为个人用户立场，你爱注销什么根证书就注销，和别人没关系，访问不了网站是你自己的事情，你建站不用 A 证书而是用了你自己认为更有公信力的 B 证书，并且把 A 的 CA 给拉黑了，难不成你可以让你所有用户都把 A 的 CA 拉黑不成？否则说 MIT 攻击的，难不成 A 的 CA 伪造签发了你站点的根证书，你的用户就都能察觉了？

楼上的说什么国内的不能用的都够了。。你们那么牛逼咋不飞呢

所以这楼里的鄙视链：

[注销根证书] BS [不注销根证书的]

[用 LE 的] BS [用 StartSSL 的]

StartSSL 免费的最大黑点不是改签或者吊销要收钱吗？

@SoloCompany

正是因为这里是技术圈，难道不应该对那些阻碍技术发展的监管措施深恶痛绝么？

如果是既得利益者，自然会维护现行监管制度了啊。

@Cu635 既然是自诩技术人的，能有一码事说一码事么，说的明明是签发证书的问题，和网络监管有半毛钱关系么，怕有人不理解那么我也放论证了，神展开很有意思么，不是每个人都喜欢什么都往政治正确上扯的

个人用没什么问题的。

Let's Encrypt 主要优势在于自动化。个人就一个站点，一年 renew 一次，不自动化也无所谓。如果你有需要管理 100 个域名的 SSL 证书， LE 的优势就出来了。

@SoloCompany
刚看请你不是 xuan880 ……

我是在回复 xuan880 的“逢中必黑，逢共比反”那一条，没有在回复 lz 。

let's encrypt 有些复杂了，第一次折腾得花一些时间。

startssl 门槛简单多了

不过如今免费 ssl 证书也没啥可选了，就上面两个还行

域名稍微有点“象”商业用途的就不给你签