前言
如何优雅地免费Get到一张Sectigo(前身Comodo CA)的三月期多域名通配符DV证书?这里或许有一些有用的的办法。
前排提醒:本文不包含任何商业内容,如果亚数和环智中诚觉着垃圾十二写得还不错可以考虑给 me@shiertx.com 的支付宝打点钱(不是)
老规矩,先上图:
图中的证书是十二博客旗下站点在生产环境中使用的SSL证书,在Sectigo官网上,一年期的单域名、多域名和通配符证书的价格分别为149美元、349美元和599美元,发文时的汇率为1USD:6.48CNY,换算下来分别为965.03元、2260.36元和3879.53元,这对于个人或小微企业无疑是一笔大的开支。
不过好在,市场上也有免费的解决方案,目前最热门的是TrustAsia(亚洲诚信)和Let's Encrypt的免费SSL证书。
对比
TrustAsia只支持单域名申请,如果申请域名为www域还会送一个@域,适合只使用www和主域名的站点,当然,你一个站点申请一张也不是不行,不过据说亚数限制了一个主域名只能申请30张的样子,生命周期为一年。
Let's Encrypt和Sectigo的免费证书差不多,均支持通配符和多域名,生命周期均为一季度,大概唯一的区别就是根证书——
Let's Encrypt 的根证书目前为DST Root CA X3,为ISRG(Internet Security Research Group)合作伙伴IdenTrust提供,将在今年(2021年)的9月30日结束生命周期。
不过不用担心,这不会发生兼容性问题——Let's Encrypt博客的这篇文章详细说明了这一点——
IdenTrust has agreed to issue a 3-year cross-sign for our ISRG Root X1 from their DST Root CA X3. The new cross-sign will be somewhat novel because it extends beyond the expiration of DST Root CA X3. This solution works because Android intentionally does not enforce the expiration dates of certificates used as trust anchors. ISRG and IdenTrust reached out to our auditors and root programs to review this plan and ensure there weren’t any compliance concerns.
然后还附了一张图——
这张图详细解释了他们的证书链情况。
当然,如果你喜欢搞一点奇怪的证书,你可以试试今天我要推的——Sectigo 免费 DV 证书。
懒得使用QQ注册的访客,这里是传送门