全球主机交流论坛

标题: Cloudflare 将于 2022 年下半年开始停止为客户签发一年期证书 [打印本页]

作者: iks 时间: 2022-9-5 16:16
标题: Cloudflare 将于 2022 年下半年开始停止为客户签发一年期证书
原标题：Cloudflare 将于 2022 年下半年开始停止为客户签发 Cloudflare Inc CA (DigiCert) 证书
loc 标题长度限制

昨晚翻文档，看见 Cloudflare 开始实施 DigiCert 证书退役计划，原文如下：

In the latter half of 2022, Cloudflare will begin deprecating DigiCert as a Certificate Authority available for a variety of certificates (Universal, Custom Hostname, and Advanced (more details coming soon)).
在 2022 年下半年，Cloudflare 将开始弃用 DigiCert 作为可用于各种证书（通用证书、自定义主机名 (SaaS) 证书和高级证书）的证书颁发机构。

通用证书：通过 Nameserver 方式（官方提供的方式）或 Partner 方式接入，由 Cloudflare Inc RSA CA 和/或 Cloudflare Inc ECC CA 颁发，commonName 为 sni.cloudflaressl.com，organizationName 为 Cloudflare Inc 的证书
自定义主机名证书：通过 SaaS 实现 CNAME 接入的主机名的证书，与通用证书无异
高级证书：$10/mon，可选证书颁发机构，commonName 为自己的域名

也就是说，接入 Cloudflare 后 Cloudflare 自动为你颁发的 DigiCert 边缘 SSL 证书的日子一去不复返了。

不过，去年就接到报告说 Cloudflare 随机对新接入的 Free 计划的域在测试颁发 Let's Encrypt 证书 (R3, E1) 等，今年底打算让 Let's Encrypt, ZeroSSL (Sectigo) 和 Google Trust Services 彻底替代掉 Cloudflare Inc CA 也算是意料之中了。

Cloudflare will stop using DigiCert as an issuing certificate authority (CA) for new Universal certificates.
This will not affect existing Universal certificates.
This process will begin for Enterprise zones on September 12, 2022.
Cloudflare 将停止使用 DigiCert 作为新通用证书的颁发证书颁发机构。
这不会影响现有的通用证书。
此过程将于 2022 年 9 月 12 日开始适用于 Enterprise 订阅的域。

插一句，此操作必然会在 2023 年 12 月 31 日前对所有级别的订阅的域实装——因为 Cloudflare Inc ECC CA-3 有效期截至 2025 年 1 月 1 日。
针对自定义主机名证书（我也很好奇为什么这么称呼），Cloudflare 给出了终止期限：

On September 26, 2022, Cloudflare will stop using DigiCert as an issuing certificate authority (CA) for new custom hostname certificates. This will not affect existing custom hostname certificates.
On October 31, 2022, Cloudflare will stop using DigiCert as the CA for custom hostname certificate renewals. This will not affect existing custom hostname certificates, but only certificate renewals.

简单来说就是 2022 年 9 月 26 日后新接入的 SaaS CNAME 的证书将由 Let's Encrypt 和 Google Trust Services 而不再由 Cloudflare Inc CA (DigiCert) 颁发；2022 年 10 月 31 日的前 30 日内过期的 SaaS CNAME 的证书将由 Let's Encrypt 和 Google Trust Services 而不再由 Cloudflare Inc CA (DigiCert) 颁发。

Cloudflare 称此举为其促进自动化的发展的举措。

汇报完毕，总结一下：
1. 一般通过用户完全不用担心这个变化，不论是 DigiCert 还是 Let's Encrypt 还是 Sectigo 还是 GTS 都一样用，不影响站点的打开；
2. Cloudflare Inc CA (DigiCert) 的证书是 OV 且有效期长达一年，Let's Encrypt 和 GTS 证书为 DV 且有效期为 90 天。不过，谁在乎呢？反正 Cloudflare 又不是自己的，续订都自动化处理，commonName 显示自己的域名不香么？
3. 客户仍然可以通过升级订阅计划到 Business 和 Enterprise 以上传自定义 SSL 证书。

Sources [1 (https://developers.cloudflare.com/ssl/ssl-tls/migration-guides/digicert-update/), 2 (https://developers.cloudflare.com/ssl/ssl-tls/migration-guides/digicert-update/universal-certificates/), 3 (https://developers.cloudflare.com/ssl/ssl-tls/migration-guides/digicert-update/custom-hostname-certificates/)]

---

Cloudflare 对自己网络中的客户发免费证书也不能说是 DigiCert 的 subCA 搞慈善，Azure 不也为 CDN 用户提供免费的 DigiCert OV 证书（当然也是由 mIcRoSoFt 背书啦，commonName 还是客户自己的）么？TrustAsia 和 Encryption Everywhere 免费单域名就更不用说了。
从过程和结果来讲可能还是滥用太严重，Cloudflare 直接不背书了，开摆。
另外 CA 和 commonName 一换我不知道「认定高墙会针对 Cloudflare 免费证书进行干扰和阻断」这些个没啥依据的猜想该怎么继续成立。

作者: LoliR 时间: 2022-9-5 16:28
其实没什么影响，反正都是自动完成不用人去管

作者: 围观者 时间: 2022-9-5 16:38
啥意思啊，谁用一句话总结一下

作者: dvbhack 时间: 2022-9-5 16:40

围观者发表于 2022-9-5 16:38
啥意思啊，谁用一句话总结一下

一句话总结：没有影响，不用管。

作者: ByteCat 时间: 2022-9-5 17:21
没影响的吧应该？可能不太方便 SNI 伪装？不懂

作者: hcyme 时间: 2022-9-5 17:22
专业座鸡，好像没什么

作者: iks 时间: 2022-9-5 17:29

ByteCat 发表于 2022-9-5 17:21
没影响的吧应该？可能不太方便 SNI 伪装？不懂

无关，Cloudflare 本就不支持域前置

作者: 马保国大师 时间: 2022-9-5 17:44
以前CF签发的后续都转到Let's Encrypt？

作者: iks 时间: 2022-9-5 18:35

马保国大师发表于 2022-9-5 17:44
以前CF签发的后续都转到Let's Encrypt？

是
也有可能是 Google Trust Services

作者: gajiodgaj 时间: 2022-9-5 18:42
一只白**一直香

作者: louiejordan 时间: 2022-9-5 18:44
我的几个月前就碰到Let's Encrypt了

作者: 天朝网络 时间: 2022-9-6 09:46
没啥影响的·~

作者: inighty 时间: 2022-9-6 10:18
你的标题意思有问题吧我看了下应该是说cf不用DigiCert证书换别的证书了不是说不给用户签发证书了

作者: iks 时间: 2022-9-6 12:13

inighty 发表于 2022-9-6 10:18
你的标题意思有问题吧我看了下应该是说cf不用DigiCert证书换别的证书了不是说不给用户签发证书了 ...

Cloudflare 签发的一年期证书就只有 DigiCert 证书，所以没有问题

作者: DogeLee2 时间: 2022-9-6 12:20
没啥影响，let's 证书老win7设备可能有点不兼容，不过也没事，还有谷歌的证书呢，三个月反正都是自动的也无所谓

作者: AaronLee 时间: 2022-9-10 21:57
应该还是有影响的，之前（大概一年前）使用 cname 添加了个域名，颁发的证书就是 Let's Encrypt，刚颁发时还好，但续订给我发邮件，要在dns解析中添加TXT记录，之后就研究了一下如何切换1年证书，不知道现在有没有变化。

作者: hardwar 时间: 2022-9-10 22:00
本帖最后由 hardwar 于 2022-9-10 22:03 编辑

无事发生签的证书肯定还是wildcard吧

作者: orwtmc 时间: 2022-9-10 23:19
不影响一般人无所谓的

作者: holinhot 时间: 2022-9-10 23:43
主要还是digicert每年要交上百万刀费用，换成LE和GG完全不要钱。还可以双证书互为备胎。缺点就是兼容性了。在乎这个的只能开200刀套餐上传自己的证书了
说话现在Google Trust Services正式上线了吗

作者: iks 时间: 2022-9-11 01:54

holinhot 发表于 2022-9-10 23:43
主要还是digicert每年要交上百万刀费用，换成LE和GG完全不要钱。还可以双证书互为备胎。缺点就是兼容性了。 ...

之前有管道可以直接传自定义证书上去而不用处在相应的订阅中

Cloudflare 在邮件里告知要用 GTS 和 ZeroSSL ，但目前没见到相应的迹象。

作者: iks 时间: 2022-9-11 01:56

AaronLee 发表于 2022-9-10 21:57
应该还是有影响的，之前（大概一年前）使用 cname 添加了个域名，颁发的证书就是 Let's Encrypt，刚颁发时 ...

要加 TXT 记录是新的基线要求通配符不得使用 HTTP 验证而只能使用 TXT 记录（DNS 验证）或邮件验证

欢迎光临全球主机交流论坛 (https://loc.528866.xyz/)