整理一下目前能核發免費 SSL 憑證的 CA 現況…
先前學術單位很愛用西班牙一家 ipsCA 公司的兩年免費 *.edu SSL 憑證,不過它的根憑證在兩年前過期、加上 Mozilla 尚未收錄 ipsCA 新的根憑證,造成 Mozilla 系列的瀏覽器從此以後都不吃它發出的憑證。微軟部分需要跑過 Windows Update 更新根憑證之後,IE 才會吃,所以除了像隔壁組之類的微軟信者還有在用,整體上現時是不堪用的狀態。
StartSSL 也是一家相當熱門、尤其是個體戶喜歡用的 CA,網頁登入控制台時必須透過 Client certificate 加密認證的措施受到蠻多人的信賴。結果繼上回 Comodo 擊斃事件之後,這家號稱CA界的瑞士刀也在上週中槍了,雖然官方說明核發憑證的部分沒被攻陷,但對使用者來說還是相當堪慮。
說到這裡,似乎已經沒有什麼免費好 CA 可以簽了… 不過在 StartSSL 中槍的當天,又出現了一家 AffirmTrust 發表即將提供三年免費 SSL 憑證的服務,預期可能會找 GeoTrust 來簽,但目前它們本家的 HTTPS 還是爛掉的狀態,過一陣子再觀察看看…
$ openssl s_client -showcerts -connect www.affirmtrust.com:443
CONNECTED(00000003)
18301:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:583: