用了一次 StartSSL 免费证书，觉得流程很简单（比 Let's Encrypt 简单）。不知道有什么长期使用上的坑？比如一年到期 renew 时有没有意外？

PKI 服务器在大数字机房, 自己斟酌

@VmuTargh 这有什么关系。签发证书你的私钥是不上传给 CA 的，实在不行换家 CA 签个新的

@VmuTargh 就算整个 CA 被端了，也是不能解密数据的。

已吊销根证书

@VmuTargh 在大数字机房又怎样 敢干坏事 就会像 CNNIC 一样被取消根证书信任
还有， Let's encrypt 由国内的云片网络提供网络，你咋不提这个？
https 是非对称加密，只要你私匙不泄漏，没什么问题。真要大动干戈的中间人攻击你，还不如直接爆破你的 vps

LE 是可以用脚本自动续期的啊，怎么也比 StartSSL 强一点吧。证书有效期短是好事，安全。

@aofall 话说。。是私钥吧。。。

以前我也误读私匙。。直到我写这个词的时候才发现。。。

@shiji
@aofall 但我可以再签一个呀 然后实现 MITM

@shiji
@aofall
我自己站点也用 StartSSL, 之所以说这句是因为 v 站一大堆"被害妄想症", 不要到时发现"哦, 这丫居然是 360 的***"然后各种骂

@aofall 逢中必黑，逢共比反，这就叫做政治正确。至于有没有理，对不对，谁在乎。

@Radeon 我的建议是不要用 StartSSL 自己家的 CSR 生成工具, 这玩意还是自己本地 openssl 生成比较放心

@VmuTargh 是的，我就是本地的 Linux 机器上的 openssl 工具生成的 CSR 。一年到期 renew 时是怎么样？有没有问题？

@Radeon renew 应该没啥问题, StartSSL 在快到期的时候会发 email 提示你 renew 证书, 还有 Auth 证书记得备份, startssl 是通过证书登录的, 丢了比较麻烦

@Andy1999 然后被吊销根证书？不如查水表来得方便，而且还要啥有啥
还有 你被降权了 收不到你的回复提醒
@a1058021348 感谢提醒……
@xuan880 也是够了 不予评价
@VmuTargh 我还用 Wosign+LE 呢 StartSSL 的认证不知道为什么一直过不去

@aofall 认证过不去...... 卡在邮箱验证了吧, 某些邮箱收不了 startssl 邮件也是醉了

@aofall 用 qq.com 的邮箱可以轻松收信

@aofall 云片只是赞助而已

不要用 QQ
不要用微信
手动吊销 cnnic 根证书
手动吊销 startssl 根证书



还有吗？

@aofall 收不到提醒也可能只是抽或者你自己被降。


StartSSL 除了“”延(告知你需要等小到工作日不等以他人工核然後再你)，以及末例行不之外，什坑了。

StartSSL 的 CRL 、 OCSP 等服务在国内是解析到 WoSign 的服务器，还不是为了国内的初级阶段网络环境访问方便。难道像以前 EdgeCast 被污染， DigiCert 、 Mozilla 、 WordPress 等网站遭殃，就好过了？
GlobalSign 还用百度云减速呢，难道也去吊销根证书？
这里还用的 TrustAsia ，是不是也要吊销中级证书？

安利安利 let's encrypt ～ dnspod 和 cloudxns dns 认证方式 https://github.com/xdtianyu/scripts/tree/master/le-dns
目录认证 https://github.com/xdtianyu/scripts/blob/master/lets-encrypt/README-CN.md

我不是很懂，如果真要是 startssl 归 360 了那某些人搞审查是不是就容易了

主要是使用 StartSSL 免费证书的网站有被墙的黑历史，所以最好是选择基数比较大（现在已经颁发了 140 万个左右了）的 Let's Encrypt 比较保险

要再发一个邮件重签，没有续费的概念吧，所以我买了个便宜的 comodo

@xuan880
在网络监管这个问题上上，“逢中必黑，逢共比反”这些人恰恰和床破一样，他们是在说大实话而已，你这种人却是蔡桓公。

在其它领域不一定了，得具体问题具体分析。

@Cu635 如果是民逗圈的说这些话不奇怪，因为那里很多人不长脑子，但这里是技术圈，也是随便可以忽悠的吗。现在说的是站长立场，如果作为个人用户立场，你爱注销什么根证书就注销，和别人没关系，访问不了网站是你自己的事情，你建站不用 A 证书而是用了你自己认为更有公信力的 B 证书，并且把 A 的 CA 给拉黑了，难不成你可以让你所有用户都把 A 的 CA 拉黑不成？否则说 MIT 攻击的，难不成 A 的 CA 伪造签发了你站点的根证书，你的用户就都能察觉了？

楼上的说什么国内的不能用的都够了。。你们那么牛逼咋不飞呢

所以这楼里的鄙视链：

[注销根证书] BS [不注销根证书的]

[用 LE 的] BS [用 StartSSL 的]

@SoloCompany

正是因为这里是技术圈，难道不应该对那些阻碍技术发展的监管措施深恶痛绝么？

如果是既得利益者，自然会维护现行监管制度了啊。

@Cu635 既然是自诩技术人的，能有一码事说一码事么，说的明明是签发证书的问题，和网络监管有半毛钱关系么，怕有人不理解那么我也放论证了，神展开很有意思么，不是每个人都喜欢什么都往政治正确上扯的

个人用没什么问题的。

Let's Encrypt 主要优势在于自动化。个人就一个站点，一年 renew 一次，不自动化也无所谓。如果你有需要管理 100 个域名的 SSL 证书， LE 的优势就出来了。

@SoloCompany
刚看请你不是 xuan880 ……

我是在回复 xuan880 的“逢中必黑，逢共比反”那一条，没有在回复 lz 。

let's encrypt 有些复杂了，第一次折腾得花一些时间。

startssl 门槛简单多了

不过如今免费 ssl 证书也没啥可选了，就上面两个还行

域名稍微有点“象”商业用途的就不给你签