1
squid157 2015-12-02 22:14:25 +08:00 1
Subject Alt Name
|
2
xufang 2015-12-02 22:16:33 +08:00 via Android 1
随着 http2 的普及,不仅仅 cdn ,这种证书会越来越普遍的哦。
|
3
alect 2015-12-02 22:20:13 +08:00 1
多域名证书呗。。。也称为 SAN 证书或 UCC 证书
|
5
yeyeye 2015-12-02 22:21:57 +08:00
一个 ssl 证书可以有很多个域名在里面,所以你明白了吗?
你这个明显是用了 CF 的 CDN ,他家自己就是可信任的证书办法机构,所以可以随便颁发 SSL 证书(说随便不太合适,但是自己是机构,就是任性) 至于为什么要这样搞,因为一个 IP 地址的一个端口只能使用一个 SSL 证书(除了 XP 可能不支持 SNI ,其实也有一些软件不支持), CDN 服务商也没有那么多 IP 来浪费,所以成为可信任证书办法机构是最简单快捷方便的方法 |
9
yeyeye 2015-12-02 23:31:13 +08:00
@ryd994
@LEFT 我知道你们又要推销 SNI 了,我怎么会不知道呢?问题是只要有低端用户存在(有时候企业软件逼着你无法升级啊,比如有的设备,是 16 位的,开发给 DOS 用的,顶天了你装个 Win98 吧,再高的系统就没法用了),所以只要 XP 以下用户还存在,就必须兼容他们。(我知道大家都想抛弃他们,他们也想抛弃,我也想抛弃,但是受限 1 ,可能某软件限制死了不准升级,还有就是受限 2 :电脑配置低,你总不能逼着别人去升级配置吧,受限 3 :你做的东西他们就是要访问,别问为什么) 也许你能放弃他们,我能放弃他们,但是要彻底放弃确实是比较头疼的。所以我更多的时候想的是,要是有一个补丁或者一个第三方工具能让这些低端的系统,低端的浏览器也能使用 SNI 那该多好啊。到时候补丁一打上就能用了,再也不用纠缠对方升级,对方又无法升级。(除了浏览器,其实还有其它领域也是使用 SSL 认证的,那些地方也有不支持 SNI 的情况) 另外 @LEFT 我错了看了下证书,确实应该是一种合作,不过 CF 也确实是可以任性发证书了……也是相当于可信任机构的作用了。 |
10
yeyeye 2015-12-02 23:56:35 +08:00
|
11
ryd994 2015-12-03 02:35:50 +08:00
@yeyeye 你语文是体育老师教的吧?
“因为一个 IP 地址的一个端口只能使用一个 SSL 证书(除了 XP 可能不支持 SNI ,“ |
12
SharkIng 2015-12-03 03:23:56 +08:00
这就是 CloudFlare 的证书,如果你域名有证书可以调成自己的证书,如果没有,那就是他们的类似服务器证书那种,现在好像全 Internet 就他们一家这样的
|
13
dndx 2015-12-03 03:27:31 +08:00
CF 的确是会帮你签免费证书但是 CF 并不是 CA ,证书是跟别的 CA 合作签的。
任性是不可能的, CA 肯定是有 Domain Verification 的要不然就违反 CPS 了。 |