那里有便宜的SSL

h0stl0c

雨宫音羽 发表于 2014-8-4 01:36
咋样都比StartSSL好 证书链也比Comodo容易完善 不过AlphaSSL的prefix handling确实糟糕了些

单域名www和 ...

为啥alphassl的证书链比comodo的容易完善？
那rapidssl还是单根的，岂不是秒杀全场。。

雨宫音羽

h0stl0c 发表于 2014-8-4 01:37
为啥alphassl的证书链比comodo的容易完善？
那rapidssl还是单根的，岂不是秒杀全场。。 ...

证书链在少不在多

Comodo的证书链经常是有两条甚至三条 几条都完善了才能达到他们的99%+浏览器支持（注意我没有说证书链的层级数 而是链数）

你直接用Windows自带的证书查看器只能看到一条信任的链，但Comodo的实际上有很多条，你可以看证书的AIA信息，经常会发现一个中间CA有多个上级CA，那些上级你都不能漏，但Windows只会显示最少的那个上级的链

只完善其中一条的后果就是部分浏览器会报错不支持，因为他们没有内置你完善的那条链的根证书。唯一的办法就是把所有可能会用上的链的证书都带上，这是挺麻烦的，很多人搞一个证书链都头大了。

而且证书多了 握手时的数据包也会多，CRL要验证的证书也会变得多，各种麻烦，速度也会被拖慢。以前不止一次发现过Comodo的证书的站因为验证CRL超时而打不开。

GlobalSign的不存在这个问题，只有一个根root 一条到AlphaSSL的链 以及一条到你证书的链。干净利落 配置简单。而且GlobalSign的root证书 98年就出来了 内置的广。Comodo有些根证书是两千年以后才颁发的

RapidSSL的证书我没用过 不做评论。你可以给个用RapidSSL的站给我看看

h0stl0c

雨宫音羽 发表于 2014-8-4 01:58
证书链在少不在多

Comodo的证书链经常是有两条甚至三条 几条都完善了才能达到他们的99%+浏览器支持（注 ...

学习了。

查了下，发现rapidssl已经不是single root了，这里有个demo，麻烦分析下：
https://ssltest12.bbtest.net

雨宫音羽

h0stl0c 发表于 2014-8-4 02:08
学习了。

查了下，发现rapidssl已经不是single root了，这里有个demo，麻烦分析下：

有两条链 服务器都完善了