Java Web学习总结（31）——全站HTTPS化SSL免费证书使用

1 背景

谷歌从 2017 年起，Chrome 浏览器将也会把采用 HTTP 协议的网站标记为「不安全」网站；苹果从 2017 年 iOS App 将强制使用 HTTPS；在国内热火朝天的小程序也要求必须使用 HTTPS 请求。

2 SSL证书类型

通常来说，SSL 证书分为三大类，他们的安全性是递增的，当然价格和安全系数成正比。

1. DV （Domain Validation Certificate）   DV 证书适合个人网站使用，申请证书时，CA 只验证域名信息。几分钟之内就能签发。
2. OV （ Organization Validation Certificate）  OV 证书需要认证公司的信息。1-2天签发。
3. EV （ Extended Validation Certificate）   EV 证书的认证最为严格，一般会要求提供纸质材料。签发时间也较久。

备注：

• 个人博客、网站，选择 DV 证书即可；
• 企业网站，但还不想付费，可以选择 DV 证书；
• 综合性的企业门户网站，可以选择 OV 证书；
• 金融、电商企业网站，选择 EV 证书。

3 SSL证书供应商简单对比

a. Let's Encrypt是国外一个公共的免费SSL项目，由 Linux 基金会托管，由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起，目的就是向网站自动签发和管理免费证书，以便加速互联网由HTTP过渡到HTTPS。

b. StartSSL 是 StartCom 公司旗下的 SSL 证书，应该算是免费 SSL 证书中的鼻祖，最早提供完全免费的 SSL 证书并且被各大浏览器所支持的恐怕就只有 StartSSL 证书了。首次申请 StartSSL 免费SSL证书是免费一年，但是你可以在第二年继续续期。

c. 七牛免费SSL 七牛最近和亚洲诚信合作推了赛门铁克 Symantec 签发的 DV 证书。

对比结果：

• 申请便利性：StartSSL和七牛的申请起来都相对便利，Let's Encrypt对环境要求比较多。
• 有效期：StartSSL和七牛都是一年，Let's Encrypt 90天。
• 证书兼容性：StartSSL 的一年免费 DV SSL 已经被 Chrome、Mozilla 封杀。要慎重选择。Let's Encrypt总体来说兼容性还不错，不过肯定是赛门铁克的兼容性最好。
• 售后：免费证书其实基本都没啥售后可言，Let's Encrypt 基本上只能求助于社区，StartSSL和七牛都有官方客服可以咨询，七牛对中文服务的支持更好。

4 常见问题

1.七牛目前提供的是哪种证书？

七牛云目前提供的是 DV 单域名证书。

• 证书品牌：亚洲诚信（赛门铁克Symantec签发）

• 证书类型：DV SSL单域名证书

• 证书价格：七牛云用户免费（原价1900元/年）

2.DV SSL证书申请需要多久？

DV SSL证书无需验证所有者资质资料，审核流程相对简单，因此可快速签发。但部分域名信息可能会触发不同等级的安全审查机制，必要时需要人工介入进行审查签发，因此，SSL证书签发时间可能会从10几分钟到24小时不等。如果您的证书仍在审核中，请耐心等待。

3.申请了主域名SSL证书，是否还需要申请www域名的？(关心最多的单域名、多域名、泛域名问题)

申请主域名如 qiniu.com 的SSL证书，默认会在证书域名中添加www域名如 www.qiniu.com，因此无需重复申请；

同样，如果您申请www的二级域名，将同时为您添加主域名使用权限。但如果您是申请的三级域名，如 www.abc.qiniu.com，则只能支持该域名，不会支持 abc.qiniu.com。

4.为什么会出现安全审核失败？

用户域名中包含非法关键字可能导致安全审核失败，非法关键字由CA定义，例如cctv，icbc等。安全审核失败后，请更换域名或更换用户信息重新提交。

提交证书申请时，申请信息不要包含中文，否则可能出现“安全审查失败”。中文信息建议用拼音代替。

5.常见的证书申请状态有哪些？

在申请证书过程中，可能出现以下状态：

• 域名循环验证中：已提交证书申购，等待用户DNS验证域名所有权。
• 已完成：证书验证成功并已签发证书，可以使用。
• DNS验证超时：超过一定时间没有去DNS验证。
• 订单被拒绝/安全审核失败：用户短时间多次提交或重复信息提交订单；域名中包含非法关键字导致安全审核失败。
• 提交订单审核不通过：由CA机构判定，域名涉及敏感字段或钓鱼域名，无法提交订单，无法人工处理。

5 申请流程

1.在个人面板-》证书管理申请证书。

2.申请完证书后跳转到 证书列表
而不是 订单列表，具体设置要在订单列表中完成。

3.DNS
验证

a. 记录类型选择 CNAME

b. 主机记录填写 cnamekey，点击复制 Key 是复制全部字段（注：万网和DNSpod平台cnamekey不需要主域名部分），见图

c. 记录值填写cnamevalue，复制全部字段，见图

d. 其他选项默认即可，见图

e. CName Key 的 DNS 解析指向 CName Value 操作完成后，系统会循环自动检测验证，最长不超过24小时，您可以用
dig 命令来自我检测下DNS解析是否配置成功，见图