S觀察員 發表於 2022-2-17 19:41:15

[SSL]你也成為免費SSL的受害者了嗎?

你也成為免費SSL的受害者了嗎?

來源:
https://blog.user.today/free-ssl-victim-dst-root-ca-x3/

2020/5/30發生根憑證過期造成Roku、Stripe及Spreedly等眾多服務停擺,今年則是另一家根憑證 Root CA X3 在 9/30 過期,一些瀏覽者在 2021/10/1 起瀏覽網站,可能就會出現「您的連線不是私人連線」「NET::ERR_CERT_DATE_INVALID」的訊息。

常見的免費SSL與優缺點
這邊講的 SSL 數位憑證是真的半毛錢都不用花的,常見的有幾種

用 CDN 就送 SSL
最有名的就屬 Cloudflare,2016年有發公告透過中華電信機房也在台提供服務Taipei: CloudFlare’s 77th Data Center is Now Live,申請完全免費,使用基礎功能也完全不用錢,不知道以後會不會養套殺就是了。

缺點之一是域名 Name Server 要直接設到 Cloudflare 上面去,增添各種權限相關的煩惱,例如客人不給域名帳密,根本沒法用這種方式。
缺點之二是因為機房頻寬有限,可能會被導向海外節點而導致網站變慢,例如現主時我這台電腦查看疫苗預約網站 https://1922.gov.tw/cdn-cgi/trace 的資訊如下,COLO=TPE,還在台灣節點內。



1922 cloudflare
CDN77也有提供這種你用他的CDN,他就讓你用免費SSL的服務,但CDN77只有14天免費試用,平常使用是要錢的。

Let's Encrypt 自動化數位憑證頒發機構

於2015年左右推出的自動化數位憑證頒發機構,2018年開始支援 wildcard 型的憑證,網站管理者透過系統指令,即可達成完全無人自動化達成簽發與安裝步驟。他們的理念是為了建立一個更加安全;更尊重隱私的網際網路,我們免費提供用戶數位憑證,並以最友善的方式替網站啟用 HTTPS。Google, Facebook 等知名的全球化網路企業都是他們的贊助商。
如果是使用一些 Linux 環境+CPanel 控制介面的虛擬主機傻瓜型服務,通常也會開放 AutoSSL 的功能讓網站管理員自動簽發,降低不少處理SSL相關作業的成本和時間。

缺點是有效期較短,只有90天,有效期過了當然就要重新簽發,然後還有千百種原因會讓自動排程程式沒執行,網站的SSL憑證過期,使用者一瀏覽網站馬上就看到錯誤畫面啦!
而且部分的共享主機(虛擬主機)根本不開放管理者使用系統指令或 cerbot 或 acme.sh 之類的工具操作權限,沒法直接享受他們的免費SSL。

FreeSSL

上述有提到部分的網頁伺服器廠商有限制,沒有開放管理者使用自動化指令簽發SSL憑證,當然就有一些服務立基於 Let’s Encrypt 或一些其他的憑證機構之上,提供一些網頁介面或其他方法來簽發憑證,並產生相關的金鑰資訊,讓管理者可以安裝在自己主機上。

缺點當然跟上述 Let’s Encrypt 一樣,每 90 天就要重新操作一次,自動化有出錯的機率,手動當然也有,一不小心就有網站的 SSL 忘記更新,非常辛苦。
這些服務本身當然也有一些使用規範或限制,例如 ZeroSSL 每個帳號可以申請的免費 SSL 憑證數量是有限制的,要多申請得繳錢變付費會員,或是像 FreeSSL.cn 需要實名制認證,註冊時要填寫大陸的手機號碼。

免費的 SSL 雖然沒有什麼麻煩的身分驗證層級(電話驗證、Email 驗證等等)、沒有保固金額、沒有真人客服、沒有標章圖片(Site Seal)之類的,但安裝免費 SSL 的絕非貪小便宜之徒,例如因為付費 SSL 通常都是1年,有時候系統還在開發測試期間,或是付費憑證申請還沒下來,或是請款流程還在跑,都會讓網站有空窗期,很適合拿免費 SSL來頂一陣。


DST Root CA X3 根憑證過期,真的只有舊裝置會出問題?

依照 Let’s Encrypt 的憑證信任鍊上 所述,Let’s Encrypt 的憑證會由 DST Root CA X3 根憑證或 ISRG Root X1 根憑證所簽發,而 DST Root CA X3 的根憑證在 2021/09/30 22:01:15 (台灣時間) 到期,有持續更新的電腦或手機設備,用戶端的瀏覽器還會有 ISRG Root X1 的根憑證可以繼續用,而久未更新的作業系統或伺服器環境,瀏覽使用了 Let’s Encrypt 的網站,將會讓使用者看到SSL連線失敗、NET::ERR_CERT_DATE_INVALID之類的訊息。


繼續閱讀:
https://blog.user.today/free-ssl-victim-dst-root-ca-x3/


頁: [1]
檢視完整版本: [SSL]你也成為免費SSL的受害者了嗎?