Update:因为后期发现,在使用 CDN 之后博客系统因为一些原因导致出现一些小 bug,这些小 bug 因为对于我这种小白来说处理起来有点麻烦,所以 CDN 和 源站 的一些东西做了一些小调整,RapaidSSL 后期可能更换为 Amazon 家的证书。


一直以来对于安全证书都没有特别多的了解,只是知道有就是好,没有的话也没多么大不了,毕竟说自己这么一点屁大的地方,又不是做电商平台或者金融机构之类的,一个带上 HTTPS 和普普通通的 HTTP,看起来并没有什么卵用。没有人在意这个(毕竟也没有人会跑来看我的博客)。

不过在上一次切换到 Amazon 的平台上做 DNS 解析CDN 之后,对证书的想法就越来越多了,因为在倒腾 CDN 的时候,发现一个安全证书本身并没有多复杂,像我这种普普通通的人,申请一个「域名验证」的 SSL 安全证书,简直就和注册一个 QQ 号码一样简单(只不过没有要求提供手机号)。

至少在 Amazon 的后台,不过 3 分钟就可以签下来一张免费的 SSL 证书,毕竟域名证书的签发,只需要验证一下这个「域名」是不是证书申请人本人所有。基本所有申请域名证书都有这么两种验证方式:

  1. DNS 验证 - 给 DNS 添加一段特殊解析对象来判定你对这个域名的所有权/操作权
  2. E-mail 验证 - 给 Whois 登记邮箱或者域名本身可能存在的高级邮箱发送验证信息

考虑到 DNS 解析可能存在一点点延迟,所以我用的是 E-mail 来验证我对 xsof.me 这个域名的所属权。从提交一直到证书签发,不过三分钟的时间,不过前提是你本身有用这个域名做邮件服务并且正在使用 Admin 之类开头的前缀的邮箱,或者是你的域名没有开 Whois 保护,证书签发单位可以直接读取到你等级的自己的邮箱地址,不过即便是开了保护的,去关掉保护也就是十几秒钟的事情。

总之,轻轻松松拿到了 Amazon 签发的安全证书,感觉地址栏上自己的地址加上了一个小绿锁挺好看的。

但是用了 Amazon 的证书没有多久,感觉又有一点问题了,首先就是 Amazon 签发的这个证书没有办法下载,没有办法看到证书本身的信息,就是说这个证书只能够在 Amazon 自己的服务上调用。虽然说我的源站用的是自动续签的 Let's Encrypt,并没有想过要把 Amazon 的证书也调用到源站上使用,但是不能自由的使用的东西,心里头还是有点小疙瘩。再后来又发现,Amazon 签发的证书,一看证书链,一层堆一层的,足足排到了第五级。之前我对证书都不了解,证书链更加不懂了,但是看过其他的站点的证书,就觉得层级太多的证书不是特别好,虽然说这个可能对我这种并没有什么明显的影响,但是心里不舒服。


于是乎昨天的时候就好好了解了一下各种证书,源站上的 Let's Encrypt 其实很不错,我的源站就在用,但是它需要三个月就续签一次,我在源站上面可以利用程序自动续签,但是在 CDN 上就不好弄了。前些年的时候一些便宜的国内的证书爆发了一次信任危机[1],所以也不考虑。最后剩下的价格对于我合理的证书也就只有 Comodo 和 RapidSSL 了。

这两家的证书,在代理商购买,都差不多是徘徊在 ¥60/yr 左右的,NameCheap 上有 Comodo 的好像是 ¥58 左右,可以说是相当便宜了,而且好像说现在 Comodo 有签发 ECC 证书了,这个具体的我又不懂了,总之 ECC 的要更好就是了。

我之所以最后买了 RapidSSL 的证书,是因为它的证书链比较短,一共三级。最上层是根证书,然后是中级签发方,再下一级就是我的站点了。虽然 Comodo 有 ECC 证书,但是它的证书链有四级,感觉上就和那个 Amazon 的证书差不多了。毕竟连 Let's Encrypt 都是只有三级,ECC 倒是没有多重要了。看了各种商家的报价,正常 RapidSSL 会稍微比 Comodo 贵一点,但是也会觉得 RapidSSL 的证书本身的综合价值会比 Comodo 的高。

就这样,就买下了 RapidSSL 一年的证书。买的话,我是在 InfiniSign 这里买的,除了 RapidSS 和 Comodo,其他常见的几个像是 GeoTrust 和 Symantec 这些,也都可以在这里买到。对比了一下其他的代理,感觉它的价格还是挺好的。重要的重要的重要的是,客服的服务是非常不错的,我这种罗里吧嗦的小白,足足折腾了他一个小时,都没有感觉到有任何的不悦,一直相当耐心地指导我操作,到最后部署好证书。如果三生有幸有人看到了我这个流水账,并且也是想要买 SSL 证书的,可以考虑一下这家啦。

话说回来,买的证书操作稍微要复杂一点,因为不像 Amazon 这种是自己直接签发证书出来,所以要填写的资料会稍微多一点,即便是最后证书上还是只展现出来一个「域名」。反正,InfiniSign 这个站点的文档都还满齐全的,没有购买的也可以看看,大概的步骤流程不管在哪里购买,都差不多。

最后证书签发下来,到 Amazon 的后台把证书的信息导入进去,CDN 上就都部署好了新的 RapidSSL 的证书啦,操作过一次之后就觉得一点儿也不复杂了。


哎,乱七八糟的写了一大堆,主要是因为上班无聊,不然要说这种文章根本没有任何意义,感觉有点像是打了一个蹩脚的没人看的广告。哈哈哈哈哈哈哈。

总之,现在大家看到的 xsof.me 前面那把小锁,就是 RapidSSL 签发的证书在加持啦。


几小时后的更新

之前对于去年,就是 2017 年 GoogleSymantec 的互怼毫无了解,相对来说 Symantec 的用户群是和我这个阶段的没有丝毫重叠的原因,但是对于行业来说,应该是一场巨大的危机事件了。

这个事件我也是刚刚才有看到,具体的过程大家可以点注解看「SSL 中国」的这篇文章:谷歌怒怼赛门铁克 浪起谁死沙滩上?[2]

总之,Symantec 这件事为什么我又会翻到,因为刚刚在看 SSL 相关的事件。之前没有太关心过 RapidSSL 的上级关系,只知道和 GeoTrust 有关系,但是不知道 GeoTrust 也是隶属于 Symantec 名下的。

这次事件 Google 给出的处罚结果相当严重,之后 Chrome 浏览器打算逐步降低取消对 Symantec 的证书的信任,之后会进一步直接取消信任。这次处罚,直接会影响到所有 Symantec 的证书以及下级证书,比如 GeoTrust、Thawte、RapidSSL,这些证书都会受到影响。这,我就有点懵逼了,我的 RapidSSL 才买的一年呀。照 Google 的惩罚来说,简直不敢想……。

But,后来我想起来,好像看证书的时候发现,根证书没有和 Symantec 有关系了的呀,然后我就去搜了一下,原来 Symantec 已经把 SSL 业务出售给了 DigiCert,所以现在我的 RapidSSL 的证书是隶属在 DigiCert 的根证书下头了,就不担心 Symantec 风波的后续影响啦。

小白就喜欢自己吓自己,神经病。

瞎逛各种站点看知识也只是为了拖延,拖延时间,好无聊,不知道什么节点提出辞职申请比较好,不能太早,也不能太晚,今晚是几点下班好呢,也不知道……


  1. 沃通证书信任事件回顾 ↩︎
  2. 谷歌怒怼赛门铁克,浪起谁死沙滩上? ↩︎