2020.5.13 let's enctrypt 的OCSP域名被污染，DNS解析异常，导致使用let's encrtyp证书的网页打开缓存，iOS特别明显。等域名恢复正常访问时，如果还想加快一点访问

2020.5.13 let's enctrypt 的OCSP域名被污染，DNS解析异常，导致使用let's encrtyp证书的网页打开缓存，iOS特别明显。等域名恢复正常访问时，如果还想加快一点访问速度，则可以在webserver配置上OCSP Stapling功能参考1，参考2，参考3），如果域名访问不了也没有办法配置成功。

2018.7.26 https://freessl.org/ 快速创建免费证书

2018.5.30 七牛后台可以购买免费SSL证书。

2018.3.15 Let's Encrypt 已经可以支持通配符了！
2017.11.12 测试SSL连通性的工具（特别可以用来测试海外线路访问时域名的解析等）, web代理，测试境外访问效果 另外一个证书是否生效的测试方法，是将域名临时指向到境外服务器

2017.9.6 由于即将发布的iOS 11不再信任由 WoSign CA Free SSL Certificate G2 intermediate CA（沃通免费SSL证书G2中级CA）签发的证书，届时，将导致使用上述证书的https页面在微信（包括系统Safari浏览器）内无法正常访问。

2017.6.21 Let's Encrypt http://os.51cto.com/art/201510/494508.htm 免费SSL证书，每三个月要更新一次（官网有提供自动化布署工具 Certbot）配置文件在 /etc/letsencrypt/renewal

#下面的配置是centor7的，如果是其他系统，请移步到certbot网站查看。$ yum -y install yum-utils$ yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional$ sudo yum install certbot-nginx#下面的命令会自动修改Ningx的配置文件$ sudo certbot --nginx#如果不想自动修改配置，可用下面的命令，只生成证书$ sudo certbot --nginx certonly添加下述配置到crontab脚本里，建议每月1号运行一次，因为3个月就会过期certbot renew 官网建议每天运行2次，感觉没啥必要。安装centbot命令成功后，即可开始生成证书，只要一个命令，正常情况下会自动检测到你的web配置并自动修改相关设置certbot -d www.yourdomain.com配置完成后你只要测试一个配置是否正常，然后重新web生效即可。超级简单！如果是centos6的系统，要用另外的方法安装https://certbot.eff.org/lets-encrypt/centos6-nginx并且如果自动脚本安装失败，可以使用手动配置命令certbot-auto certonly --manual

2017.3.24 Symmentic DV SSL有风险

2017.3.15 Let's Encrypt 免费证书

2.7 阿里云免费证书，腾讯云免费证书,又拍云免费证书（1年有效期，之后超贵）

11.16 updated: 证实不是路由器问题。极有可能是阿里云局域网被sniffe了。另外 网友评论提到 腾讯云也有ssl服务了，现在公测免费申请中，有兴趣的可以一试，不过腾讯云的ssl好像是使用的symantec的服务，过期后收费可能会比较高，要有心理准备。（测试了一下，有些域名竟然会提示：抱歉，该域名未通过CA机构安全审查，无法申请域名型证书。请尝试申请其他域名。查看安全审核详情）。

家里的路由器貌似被人植入广告，手机上网经常看到一些莫名的广告，看来网站非得上ssl才行了。在网上找了些ssl服务商的比较。全球SSL主要服务商有：GeoTrust, Comodo, Thawte, AlphaSSL, RapidSSL, GlobalSign and Symantec，国内那几家（沃通？）就算了，前些天国外tech giant 已经宣布不再支持他们了。

一些性价比比较的文章

http://webdesign.about.com/od/ssl/tp/cheapest-ssl-certificates.htm

https://www.namecheap.com/security/ssl-certificates.aspx

What is the cheapest Wildcard SSL provider right now?

Wildcard SSL Certificates

一些ssl分销商，好像也能拿到好的代理价格？

 

下表比较了各服务商的价格（只有域名认证，没有组织机构认证和绿条显示等附加功能）

ssl provider	单域名(美元/年)	泛域名(美元/年)	其他
GeoTrust	149	499
Comodo	99 有机构绿条显示	404
Thawte	199	499
AlphaSSL	49	149
RapidSSL	69	269
GlobalSign	300	990
Symantec	399	1999

比较来看AlphaSSL最便宜。不过在 namecheap 或 sslStore 代理这里也有些便宜的ssl价格。

推荐 AlphaSSL 的49美元单域名，签发非常快（.cn域名要1天时间审核），按邮件操作基本10分钟搞定！

2016.12.5 updated:AlphaSSL证书在安卓机上兼容有问题！！还是要选择大品牌的公司，像GlobalSign，GeoTrust

是我的nginx配置问题。nginx的crt要求 证书+intermedia+root 一起合并的。详见nginx安装ssl证书的详情指导。

配置ssl相对比较简单，下面以centos+nginx为例说明下步骤：

1、生成CSR

#此步骤会要求输入域名等信息，请认真填写openssl req -new -newkey rsa:2048 -nodes -keyout your_domain_private_key.key -out your_domain_name.csr#如果是签发sha256算法的申请，用以下命令openssl req -new -newkey rsa:2048 -nodes -sha256 -keyout domain.key -out domain.csr填写申请资料时，注意Common Name,如果是申请单域名，则用单签名全称，如www.baidu.com，如果申请的是通配符，则用*.baidu.com，否则在alphassl会提示通用名不匹配的错误。

2、在ssl provider申请，会收到域名证书csr文件，将相关文件上传到nginx/conf/目录

nginx安装ssl证书的详情指导

3、修改nginx相关的domain.conf加入到server{}配置里

listen       443 ssl;ssl_certificate      your_cert_from_provider.crt;ssl_certificate_key your_domain_private_key.key;ssl_session_cache    shared:SSL:1m;ssl_session_timeout  5m;ssl_ciphers  HIGH:!aNULL:!MD5;ssl_prefer_server_ciphers  on;

4、修改80端口重定向到443

server {        listen       80;        server_name  your_domain_name;        return         301 https://$server_name$request_uri;}

5、重启nginx

#问题记录

问题1：certbot renew 时出错，提示如下：

ImportError: 'pyOpenSSL' module missing required functionality

解决办法：

for CentOS7,Just do "mv /usr/lib64/python2.7/site-packages/OpenSSL /usr/lib64/python2.7/site-packages/pyOpenSSL", and that works like a charm for me!!!

问题2：certbot-auto执行时提示 No matching distribution found for certbot==0.35.1 (from -r /tmp/tmp.DgpPbWoF5W/letsencrypt-auto-requirements.txt (line 204))，只要删除~/.pip/pip.conf文件再执行即可