根据 let’s encrypt ca 的统计,截至 2017 年 11 月,firefox 加载的网页中启用 https 的比例占 67%,比去年底的 45% 有巨大提升。浏览器开发商如 mozilla, google 准备采取下一步措施:将所有 http 网站标记为不安全。
随着 https 的普及,给网站加个 ssl 证书已经是大势所趋而且很有必要了。
目前已经存在不少免费好用的 ssl 证书,因此,本文就来盘点一下关于免费 ssl 证书的那些事儿。
一、let’s encrypt
官方网站:
点评:毫无疑问,let’s encrypt 是目前使用范围最为广泛的免费 ssl 证书,而且,自 2018 年开始提供通配符 ssl 证书,也就是 wildcard certificates。这对于广大个人站长来说,无疑是个不错的利好消息。唯一的缺憾就是,let’s encrypt 发行的证书有效期只有 3 个月,虽然可以通过定时任务来自动续期。
如何申请?可以通过安装 后,使用 lamp add 命令来自动创建 ssl 证书。也可以通过以下在线申请网站,手动申请证书。
在线申请网址1(中文):
在线申请网址2(英文):
在线申请网址3(英文):
二、trustasia
官方网站:
点评:trustasia 是国内一家新兴的 ssl 证书提供商,赛门铁克(symantec)亚太区的白金kb88凯时官网登录的合作伙伴。随着 symantec 的 ca 业务被 digicert 收购完成,其证书链也从 symantec 变为 digicert。现在也开始提供免费 1 年期的 dv ssl 证书。
在线申请网址:
三、alwaysonssl
官方网站:
点评:alwaysonssl 是一个新的免费和自动认证机构。它由 certcenter 和 digicert 运行,免费提供 6 个月的 dv ssl 证书。
在线申请网址:
四、comodo
官方网站:
点评:在 let’s encrypt 没有问世之前,comodo 的市场占有率是第一位。随着 let’s encrypt 的盛行,comodo 在 dv ssl 市场占有率逐渐下降,但依然是 ssl 的龙头企业。目前 comodo 也提供免费 90 天的免费 dv ssl 证书。
在线申请网址1:
在线申请网址2:
备注:100tb 免费提供 1 年期的 comodo 证书,前提是需要注册为会员后才能在后台申请。100tb 的规定是,发行的证书只能在他们家的产品上使用,否则会有被吊销的风险。申请时,请自备 csr(certificate signing request),这里有 csr 在线生成工具。参考网址:
五、cloudflare
官方网站:
点评:cloudflare 很早就开始提供免费 ssl 证书,前提是你的域名要放在 cloudflare 解析,注册为 free plan 就可以。
备注:只要域名加入 cloudflare free plan,解析 a 记录的时候,点击 traffic to this hostname will go through cloudflare,就可以了。一般情况下,这个免费的 universal ssl 里会包含一大堆别人的域名(该证书也是 comodo 发行的)。当然,如果你比较介意这个的话,可以付费购买其 dedicated ssl certificate ($5/month) 或 dedicated ssl certificate with custom hostnames ($10/month)。
六、alphassl
官方网站:
点评:其实 alphassl 并不免费提供 ssl 证书,而且价格不菲。但是 alphassl 跟 singlehop 有合作关系,免费给 singlehop 的客户发行证书,甚至包括通配符 ssl 证书。有人根据这个规则,开发了个自动发行证书的工具。详见:
也就是说,只要你有了 singlehop 的服务,就可以使用你的帐号密码以及该工具去当个活雷锋了。但是,不可避免地,这样的活雷锋是当不了多久的。一般其下场会因为滥用被 singlehop 给关闭账户。
值得注意的是,如果你申请了这个 ssl 证书,就要有 ssl 证书随时可能被吊销的觉悟。
详情始末的参考网址:
在线申请网址:
尾声:
自从 let’s encrypt 开始提供免费dv ssl后,ssl 证书市场就已经开始洗牌了。
值得一提的是 starcom 原本是一家以色列的证书商,提供免费和收费的 ssl 证书,后被国内公司 360 收购。曾在 ca 市场也有一席之地,startcom 的问题在于被发现允许对证书的签发日期进行倒填,从而达到规避 sha1 证书在 2016 年 1 月 1 日之后被浏览器警告的目的。最终于 2017 年 11 月 16 日,startcom 宣布终止业务,自 2018 年 1 月 1 日起停止颁发新证书,并于 2020 年停止 ocsp 和 crl 服务。
沃通(wosign)也属于类似情况,被 mozilla 认为 wosign 最严重的问题是伪造(或者说人为设置)了证书签发日期,相继被 mozilla 和 chrome 不信任,最终导致出局。
最后,随着 https 的广泛被适用,我们也乐于看到越来越多的 ca 开始提供免费的 dv ssl 证书。