V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
TESTFLIGHT2021
V2EX  ›  程序员

SSL 证书 是不是互联网新时代的人头税啊。。。。

  •  
  •   TESTFLIGHT2021 · 2023-12-20 19:14:49 +08:00 · 5207 次点击
    这是一个创建于 373 天前的主题,其中的信息可能已经有所发展或是发生改变。
    求推荐个便宜的证书啊~~
    现在网站都要这玩意了。。。
    53 条回复    2024-02-15 16:16:44 +08:00
    Laysan
        1
    Laysan  
       2023-12-20 19:17:12 +08:00
    Let's 免费
    winecat
        2
    winecat  
       2023-12-20 19:24:13 +08:00
    腾讯云里也可以申请个免费的,只不过每年都要续期
    hxzhouh1
        3
    hxzhouh1  
       2023-12-20 19:28:36 +08:00
    别急,还有 ipv4 呢
    smilzman
        4
    smilzman  
       2023-12-20 19:37:13 +08:00 via Android
    @winecat 现在改成 3 个月了
    skiy
        5
    skiy  
       2023-12-20 19:39:07 +08:00
    是的。
    VANHOR
        6
    VANHOR  
       2023-12-20 19:44:56 +08:00
    @smilzman 下午刚申请的,是一年呀。
    smy116
        7
    smy116  
       2023-12-20 19:46:54 +08:00
    @VANHOR 12 月 31 日之后就只有 3 个月了。
    xJogger
        8
    xJogger  
       2023-12-20 19:49:41 +08:00 via Android
    le
    zerossl
    freessl.cn
    谷歌
    这几个都有免费 ssl 且可以用 acme.sh 自动续期
    或者套 cf 也可以有 ssl
    ztmzzz
        9
    ztmzzz  
       2023-12-20 19:50:54 +08:00 via iPhone
    3 个月免费证书是不能用吗?
    deorth
        10
    deorth  
       2023-12-20 20:27:54 +08:00 via Android
    您好,是的。
    salmon5
        11
    salmon5  
       2023-12-20 20:31:07 +08:00
    本来就是的,你拉的宽带也是收费的。
    laqow
        12
    laqow  
       2023-12-20 21:09:54 +08:00
    感觉全靠 chrome 和安卓一把屎一把尿把 https 的基础设施做起来
    kingjpa
        13
    kingjpa  
       2023-12-20 21:14:35 +08:00   ❤️ 4
    @laqow 其实并不是 chrome ,ssl 是国内各大互联网公司联合起来,对抗 isp 运营商 在网页中劫持插入广告,维护自己的护城河而建立的。 而且这些公司是自己掏钱真金白银的, 免费给用户发证书。

    只是现在浏览器对 非 https 恶意很大,导致了国内这些大厂现在开始得瑟,要降本增笑了
    skiy
        14
    skiy  
       2023-12-20 22:15:22 +08:00   ❤️ 3
    @kingjpa 国内大厂没有这个能力。就是 chromium 强推。现在默认 https 了。国内这些厂商还得买证书呢。
    当年 12306 就是倔强,自己签名。
    krystal9527
        15
    krystal9527  
       2023-12-20 22:35:01 +08:00
    可以试试 Caddy
    kenvix
        16
    kenvix  
       2023-12-20 22:40:04 +08:00
    Zerossl 和 letsencrypt 不都是免费的吗
    AlexPUBLIC
        17
    AlexPUBLIC  
       2023-12-20 22:43:06 +08:00
    改成 3 个月后群晖就賊麻烦了,acme.sh dns challenge 用起来贼不方便
    gadore
        18
    gadore  
       2023-12-20 22:52:10 +08:00 via Android
    @AlexPUBLIC https://blog.gadore.top/archives/1677915050714/
    我刚写了文章解决这事儿,哈哈哈。
    pengtdyd
        20
    pengtdyd  
       2023-12-20 23:02:11 +08:00
    你不做国内市场,屁事没有。
    hongfs
        21
    hongfs  
       2023-12-20 23:04:36 +08:00
    @pengtdyd 笑死了,我们又突然遥遥领先了。
    AlexPUBLIC
        22
    AlexPUBLIC  
       2023-12-20 23:07:32 +08:00
    @dianso 还是比较麻烦的,以前只要一年上传一次就行,希望能像群晖 ddns 的一样支持 dns 就好了
    Atomo
        23
    Atomo  
       2023-12-20 23:10:17 +08:00 via Android
    证书机构有什么很高的运营成本吗?感觉证书收费标准挺贵的
    datou
        24
    datou  
       2023-12-20 23:16:47 +08:00
    DV 证书直接用免费的 LE

    不是业界头部厂商一般也不会上死贵的 OV 和 EV 证书
    ospider
        25
    ospider  
       2023-12-20 23:27:55 +08:00
    不会有人真的讨厌 https 吧,想想当年运营商随意篡改页面,偷 cookie 多恶心?
    tool2d
        26
    tool2d  
       2023-12-20 23:54:26 +08:00
    当年要不是 lets encrypt 横空杀出来,SSL 证书就是货真价实的收割利器。

    公司有几个网站,接到各种电话销售让买收费证书。
    ysc3839
        27
    ysc3839  
       2023-12-21 00:07:31 +08:00 via Android
    证书颁发机构就类似公证处,都是可信第三方,公证处也是要收费的。
    jettzhang
        28
    jettzhang  
       2023-12-21 00:15:47 +08:00
    正常,一开始免费只是为了圈用户,说不定以后微信都会收费
    ashong
        29
    ashong  
       2023-12-21 00:25:13 +08:00 via iPhone
    ssl 不算,数字签名才是真的保护费
    JensenQian
        30
    JensenQian  
       2023-12-21 01:52:25 +08:00 via Android
    let's zerossl 谷歌这三个都是免费
    mikewang
        31
    mikewang  
       2023-12-21 01:52:49 +08:00
    SSL 证书,原理上是证书颁发机构(CA)验证你的身份,然后用自身的信誉来保证某个公钥是属于你的。
    CA 需要保证根证书密钥绝对的安全,验证申请者身份,处理证书吊销,并且管理下级机构不得滥发证书,现在还需要公布证书透明度等等...这些都是成本。失信的 CA 可以参考 CNNIC 证书移除事件。
    所以收费也是正常的,免费那是真的在做公益。如果不想给这些 CA 缴费,也可以自签名加到根证书列表,就是不被广泛信任罢了。
    chaoschick
        32
    chaoschick  
       2023-12-21 07:46:44 +08:00 via Android
    只是单纯用于加密数据的话 cloudflare 的 ssl 代理就够用了
    holulu
        33
    holulu  
       2023-12-21 07:57:34 +08:00
    维护 CA 签发证书也要成本。如果网站不重要可以不上,需要也可以用免费的。
    holulu
        34
    holulu  
       2023-12-21 07:59:18 +08:00
    @Atomo 信任也是用钱砸出来的,还有基础设施维护。
    flyqie
        35
    flyqie  
       2023-12-21 08:16:23 +08:00 via Android
    @kingjpa #13

    国内?有资料来源吗?

    这玩意跟国内互联网公司有啥特别大的关系吗?
    cslive
        36
    cslive  
       2023-12-21 08:57:26 +08:00
    acme.sh 自动签发免费证书,到期自动续,或者用 caddy 自动档,自动给你配置 ssl
    code4world
        37
    code4world  
       2023-12-21 09:35:22 +08:00
    @flyqie 和国内有屁关系。完全是 Google 之类大公司、互联网安全研究小组、Electronic Frontier Foundation 之类的组织推动的,现在的 Let's Encrypt 就是为了这个目的

    这不是基本常识的吗?感觉有些人大概是在平行宇宙
    goodryb
        38
    goodryb  
       2023-12-21 09:43:04 +08:00
    @gadore 我之前也是类似的办法,不过使用别人打包好的 docker ,https://www.v2ex.com/t/854756
    1252603486
        39
    1252603486  
       2023-12-21 10:02:29 +08:00
    可以用 acme.sh,我当时简单写了下我部署时候遇到的问题,https://blog.fireheart.space/archives/%E4%BD%BF%E7%94%A8acme%E8%87%AA%E5%8A%A8%E7%94%9F%E6%88%90%E7%BD%91%E7%AB%99%E8%AF%81%E4%B9%A6%E6%97%B6%E9%81%87%E5%88%B0%E7%9A%84%E9%97%AE%E9%A2%98 ,可以自动续签
    WeSoniC
        40
    WeSoniC  
       2023-12-21 11:24:01 +08:00
    acme 或者 certbot 不是挺好的吗?我用了快两年了,除了第一次配置,两年都是自动更新,我都忘记这玩意儿的存在了。。。
    julyclyde
        41
    julyclyde  
       2023-12-21 11:28:11 +08:00
    @kingjpa 做内容的企业里哪一家免费给用户提供了?
    Carlgao
        42
    Carlgao  
       2023-12-21 13:30:20 +08:00
    国内的服务器用 acme 申请证书有个“墙”的问题吧,这个问题可以避免吗?
    Xinu
        43
    Xinu  
       2023-12-21 14:05:53 +08:00
    @Carlgao 没有吧 今天还用了 很丝滑,申请的泛域名证书
    shellus
        44
    shellus  
       2023-12-21 17:12:47 +08:00
    黑产:各位说得对,SSL 真是毒瘤
    希望我们和各位一起齐心协力推动互联网安全倒退,回到那个幸福的年代。
    和菜鸡程序员比拼 JS 混淆加密
    轻松一点直接返回假页面绕过 js 加密钓鱼用户账号密码
    真是怀念啊,想不到各位和我们想到一块去了,SSL 真是毒瘤,各位加油,抹黑它,抵制它!
    kingjpa
        45
    kingjpa  
       2023-12-21 22:12:26 +08:00
    @flyqie

    链接就不发了,自行搜关键词: 腾讯等六家互联网公司联合声明:抵制流量劫持

    在 2014 年左右, 那时候 app 还没有现在这么火 ,大部分都是在 pc 网页/微信里看视频, 3 大运营商才是广告平台大佬,没有 https ,运营商可以直接劫持网页 在原有网站插入广告。 这严重影响了 几大互联网平台的利益,所以越来越多的公司开始加入抵制, 然后开始了免费的 ssl ,

    还有人说 1 年 1 续麻烦,其实以前 ssl 证书不是 1 年 1 续费, 几年的都有, 只是国内 360 控制的证书签发机构,做了违背祖宗的决定,伪造了国外某知名网站证书, 然后导致了 以后证书变成了 1 年 1 续费。

    太多人 没经历过那个万花齐放时代,那会火的都是内容性网页,贴吧 猫扑 天涯 等等。 几乎么有审查
    kingjpa
        46
    kingjpa  
       2023-12-21 22:19:34 +08:00
    @skiy 你这是本末倒置,为什么以前 https 不提示告警,谷歌以前不知道 http 危险吗?

    正是因为大部分网页都使用了 https , 他才有底气给没有 https 的网页做危险阻拦
    flyqie
        47
    flyqie  
       2023-12-21 22:26:28 +08:00
    @kingjpa #45

    https://en.wikipedia.org/wiki/Let's_Encrypt

    根据给出的关键词,我能搜到的资料基本都是 2015 年国内,但 Let's_Encrypt 是早于这个时间出来的啊。。

    而且,根据相关资料,改成一年是浏览器厂商搞的啊。。

    https://www.zdnet.com/article/apple-strong-arms-entire-ca-industry-into-one-year-certificate-lifespans/
    kingjpa
        49
    kingjpa  
       2023-12-21 22:44:40 +08:00
    @flyqie 证书改成 1 年有效期,是因为沃通伪造了 github 的证书,然后就被吊销了签发资格,从那以后所有签发证书都是 1 年。

    你说的这个 Let's_Encrypt 以前又没有脚本签发,也没有脚本续期, 那个年代要用工具生成本地密钥 等等还是比较复杂的, 而且国内浏览器 以前是不认 Let's_Encrypt 的,以前国内大部分都是国产浏览器,每个大厂都有自己的浏览器。

    我记忆中 七牛云应该是第一家免费发 ssl 的企业 ,然后才是阿里云 百度云 腾讯云等大厂跟进,有这些大厂,才让大部分中小企业用上了免费的 ssl , 包括现在大部分企业用的肯定是这几家的免费 ssl (其实是同一家证书公司发的)

    国内这些大厂统一切换 https 应该就是 2014 年左右, 我记得百度还专门搞了个新闻 说全面进入 https 搜索时代 ,那会李彦宏风光的很,还做过全国首富,哎可惜贴吧没落了 没把握好
    kingjpa
        50
    kingjpa  
       2023-12-21 23:04:40 +08:00
    flyqie
        51
    flyqie  
       2023-12-21 23:20:17 +08:00
    @kingjpa #50

    想起来了。。

    当年沃通炸了以后身边不少站长都在换证书。。

    后来沃通就淡出视线了。。

    ssl 这块我之前关注的极少,因为太麻烦了,后来是大家都上了,浏览器也做了限制,才逐渐开始用上了。
    eastphoton
        52
    eastphoton  
       2023-12-24 13:28:13 +08:00 via Android
    @kingjpa 那你这就不是本末倒置了吗。。拿国内进入 ssl 时代去论证整个互联网。那 chrome 只看国内就敢对非 https 告警了吗,那当然是看其他方面推动得全球都已经大多数网站 https 了。

    当初就是一些国际公司和一些国际组织在推动 ssl 全球普及,他们可不仅仅是让自己的网站用上 ssl 而是在推动其他人的网站也用上,比如像 letsencrypt 签发免费证书开了个头,才有了后来这些越来越多越来越方便的免费证书。letsencrypt 以前即使有免费也是各种限制各种麻烦。

    国内这些大厂切换到 ssl 是符合他们利益也符合技术趋势所以顺便上车了,国内大厂只是使用者,并不是推动者。
    huangzhiyia
        53
    huangzhiyia  
       316 天前
    aws 证书免费自动续签(只要绑定到有效服务上),不需要任何操作.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2820 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 11:30 · PVG 19:30 · LAX 03:30 · JFK 06:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.