SSL 证书 是不是互联网新时代的人头税啊。。。。

2023-12-20 19:14:49 +08:00
 TESTFLIGHT2021
求推荐个便宜的证书啊~~
现在网站都要这玩意了。。。
5546 次点击
所在节点    程序员
53 条回复
julyclyde
2023-12-21 11:28:11 +08:00
@kingjpa 做内容的企业里哪一家免费给用户提供了?
Carlgao
2023-12-21 13:30:20 +08:00
国内的服务器用 acme 申请证书有个“墙”的问题吧,这个问题可以避免吗?
Xinu
2023-12-21 14:05:53 +08:00
@Carlgao 没有吧 今天还用了 很丝滑,申请的泛域名证书
shellus
2023-12-21 17:12:47 +08:00
黑产:各位说得对,SSL 真是毒瘤
希望我们和各位一起齐心协力推动互联网安全倒退,回到那个幸福的年代。
和菜鸡程序员比拼 JS 混淆加密
轻松一点直接返回假页面绕过 js 加密钓鱼用户账号密码
真是怀念啊,想不到各位和我们想到一块去了,SSL 真是毒瘤,各位加油,抹黑它,抵制它!
kingjpa
2023-12-21 22:12:26 +08:00
@flyqie

链接就不发了,自行搜关键词: 腾讯等六家互联网公司联合声明:抵制流量劫持

在 2014 年左右, 那时候 app 还没有现在这么火 ,大部分都是在 pc 网页/微信里看视频, 3 大运营商才是广告平台大佬,没有 https ,运营商可以直接劫持网页 在原有网站插入广告。 这严重影响了 几大互联网平台的利益,所以越来越多的公司开始加入抵制, 然后开始了免费的 ssl ,

还有人说 1 年 1 续麻烦,其实以前 ssl 证书不是 1 年 1 续费, 几年的都有, 只是国内 360 控制的证书签发机构,做了违背祖宗的决定,伪造了国外某知名网站证书, 然后导致了 以后证书变成了 1 年 1 续费。

太多人 没经历过那个万花齐放时代,那会火的都是内容性网页,贴吧 猫扑 天涯 等等。 几乎么有审查
kingjpa
2023-12-21 22:19:34 +08:00
@skiy 你这是本末倒置,为什么以前 https 不提示告警,谷歌以前不知道 http 危险吗?

正是因为大部分网页都使用了 https , 他才有底气给没有 https 的网页做危险阻拦
flyqie
2023-12-21 22:26:28 +08:00
@kingjpa #45

https://en.wikipedia.org/wiki/Let's_Encrypt

根据给出的关键词,我能搜到的资料基本都是 2015 年国内,但 Let's_Encrypt 是早于这个时间出来的啊。。

而且,根据相关资料,改成一年是浏览器厂商搞的啊。。

https://www.zdnet.com/article/apple-strong-arms-entire-ca-industry-into-one-year-certificate-lifespans/
flyqie
2023-12-21 22:39:14 +08:00
@kingjpa #46

https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

https://blog.chromium.org/2017/04/next-steps-toward-more-connection.html

https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html

https://blog.google/technology/safety-security/say-yes-https-chrome-secures-web-one-site-time/

这是我能找到的 Google 博客相关文章
kingjpa
2023-12-21 22:44:40 +08:00
@flyqie 证书改成 1 年有效期,是因为沃通伪造了 github 的证书,然后就被吊销了签发资格,从那以后所有签发证书都是 1 年。

你说的这个 Let's_Encrypt 以前又没有脚本签发,也没有脚本续期, 那个年代要用工具生成本地密钥 等等还是比较复杂的, 而且国内浏览器 以前是不认 Let's_Encrypt 的,以前国内大部分都是国产浏览器,每个大厂都有自己的浏览器。

我记忆中 七牛云应该是第一家免费发 ssl 的企业 ,然后才是阿里云 百度云 腾讯云等大厂跟进,有这些大厂,才让大部分中小企业用上了免费的 ssl , 包括现在大部分企业用的肯定是这几家的免费 ssl (其实是同一家证书公司发的)

国内这些大厂统一切换 https 应该就是 2014 年左右, 我记得百度还专门搞了个新闻 说全面进入 https 搜索时代 ,那会李彦宏风光的很,还做过全国首富,哎可惜贴吧没落了 没把握好
kingjpa
2023-12-21 23:04:40 +08:00
@flyqie
故意伪造证书
https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html
flyqie
2023-12-21 23:20:17 +08:00
@kingjpa #50

想起来了。。

当年沃通炸了以后身边不少站长都在换证书。。

后来沃通就淡出视线了。。

ssl 这块我之前关注的极少,因为太麻烦了,后来是大家都上了,浏览器也做了限制,才逐渐开始用上了。
eastphoton
2023-12-24 13:28:13 +08:00
@kingjpa 那你这就不是本末倒置了吗。。拿国内进入 ssl 时代去论证整个互联网。那 chrome 只看国内就敢对非 https 告警了吗,那当然是看其他方面推动得全球都已经大多数网站 https 了。

当初就是一些国际公司和一些国际组织在推动 ssl 全球普及,他们可不仅仅是让自己的网站用上 ssl 而是在推动其他人的网站也用上,比如像 letsencrypt 签发免费证书开了个头,才有了后来这些越来越多越来越方便的免费证书。letsencrypt 以前即使有免费也是各种限制各种麻烦。

国内这些大厂切换到 ssl 是符合他们利益也符合技术趋势所以顺便上车了,国内大厂只是使用者,并不是推动者。
huangzhiyia
2024-02-15 16:16:44 +08:00
aws 证书免费自动续签(只要绑定到有效服务上),不需要任何操作.

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://yangjunhui.monster/t/1002068

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX