FreeSSL 已经可以签发 DigiCert 根的 TrustAsia 免费证书了，担心 Symantec 不被信任的可以重新签发

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Certbot 使用文档

› Dehydrated

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

这是一个创建于 2529 天前的主题，其中的信息可能已经有所发展或是发生改变。

Chrome 打算取消 Symantec 证书信任，后来 Symantec 的 PKI 服务被 DigiCert 收购。

现在 CA 系统升级完之后，新的 TrustAsia 免费证书已经变成 DigiCert 根了，不用担心明年被取消信任了。

腾讯云阿里云之类的说要等到 12 月 7 号能签，但是 FreeSSL 现在已经可以正常签发了。

就是这个网站 https://freessl.org/

我的新证书测试站 https://www.penbeat.cn/

digicert

Symantec

签发

证书

22 条回复 • 2017-12-13 21:52:43 +08:00

alect

2017-12-05 20:38:55 +08:00

感谢，刚签发了一个。

v2register

2017-12-05 21:36:46 +08:00

api response err: 网络异常！请稍后重试

hotsnow

2017-12-05 21:54:31 +08:00

安全连接失败

连接 www.penbeat.cn 时发生错误。OCSP 回应无效的 OCSP 签署证书（错误码：sec_error_ocsp_invalid_signing_cert ）

无法显示您尝试查看的页面，因为无法验证所收到数据的真实性。
请联系网站的所有者以告知此问题。或者使用帮助菜单中的相关命令来报告此问题站点。

xsn

2017-12-05 21:58:07 +08:00

为什么这个网站也在用 Let's Encrypt 呢

isCyan

2017-12-05 21:58:40 +08:00

@hotsnow 根证书是 DigiCert 2013 年的新证书，而且那个中级证书也是 3 天前才签发的，兼容性可能的确不行。但是 OCSP 应该没问题啊。我有做 OCSP Stapling 而且测过都是信任的。这是火狐浏览器吗？还是别的浏览器？什么版本？什么系统？

isCyan

2017-12-05 22:00:02 +08:00

@xsn 你看他也提供 Let's Encrypt 证书啊，而且这又不是 TrustAsia 官方搞的

holulu

2017-12-05 22:10:04 +08:00 via Android

我的域名在这里签 TrustAsia 总是无法完成订购，Let's Encrypt 却没问题。BTW，TrustAsia 有可以开放使用的 API 么？

Havee

2017-12-05 22:43:05 +08:00

话说验证的时候只能 80 端口进去？不能 443 端口进去？

hotsnow

2017-12-05 23:12:13 +08:00

@isCyan #5 很老的 FireFox 27 + WinXP :p

huaxing0211

2017-12-06 11:31:31 +08:00

IE10,chrome52,firefox57 一切正常，我的站后面去腾讯去更新去！

mario85

2017-12-06 15:28:07 +08:00

api response err: 500:{"partnerOrderId":"TBDdkn2j","status":[{"name":"failed","errors":[{"reason":"Backend processing Error","key":"ERROR","field":""}]}]}
总是出这个

h466977183

2017-12-06 16:23:22 +08:00

@holulu 看一下你的域名中是否有敏感词汇，Trustasia 的免费证书会对一些敏感词汇做限制类似于 test 这种

h466977183

2017-12-06 16:26:53 +08:00

@mario85 你可以参考一下 https://common-buy.aliyun.com/?spm=5176.7968328.911106.btn1.54674302oIDplc&commodityCode=cas#/buy aliyun 中对 Symantec 免费的 DV 证书的说明：
[通知] 赛门铁克 DV 证书（包括免费证书）调整为交叉根证书用于提升证书兼容性，接口调整时间为 2017 年 11 月 27 日~2017 年 12 月 17 日，在此期间 symantec DV 证书可能无法签发，介时请选择其它类型，或者其它品牌证书。

holulu

2017-12-07 16:31:43 +08:00

@h466977183 不觉得有什么敏感词。最后还是放弃，直接 Let's Encrypt 多愉快，明年还能上通配。

Cipool

2017-12-09 00:31:51 +08:00 via Android

trustasia 不支持 ecc 证书？

holulu

2017-12-09 16:23:43 +08:00

@Cipool 试一下签 ECC，是全链 ECC 的：TrustAsia TLS ECC CA G9 -> DigiCert Global Root G3。

Cipool

2017-12-09 17:10:49 +08:00 via Android

@holulu 我这里签完以后 cpanel 提示证书私匙都无效

isCyan

2017-12-09 18:05:41 +08:00 via Android

@Cipool cpanel 不支持 ecc ssl

isCyan

2017-12-09 22:31:32 +08:00

@holulu 这种还不算全链。不过证书体积肯定比 LE 和 Comodo 小了，值得一试。

Comodo 老的客户端的证书链是一张域名证书加两张 ECC 中级，根证书叫 USERTrust 那个是 RSA。
但是在很新的客户端上，会有一个 Comodo ECC 在信任的根证书里，读取到第一个中级证书就会匹配到 ECC 的根证书，才是全链。

所以为了兼容性，配置服务器时一般还是要传“一张域名证书加两张 ECC 中级”这种，一共 3 张证书，加起来总的体积还是不够小

isCyan

2017-12-09 22:32:58 +08:00

@holulu 全链不全链（根证书是不是 ECC ）无所谓，这个已经达到最小化证书体积的目的了

isCyan

2017-12-09 23:16:12 +08:00

@holulu 看错，签完一个的确是全链…… 你是对的

namebus

2017-12-13 21:52:43 +08:00

哈哈，大家盼望的结果来了，今天看到 TrustAsia 的 Root 也更新了，现在测试下来兼容性棒棒的，ECC 也是支持的
https://myssl.com/myssl.com

DigiCert Global Root CA
TrustAsia TLS RSA CA
*.myssl.com

DigiCert Global Root CA
TrustAsia TLS ECC CA
*.myssl.com