vps交流

Cloudflare 将于 2022 年下半年开始停止为客户签发一年期证书


原标题:Cloudflare 将于 2022 年下半年开始停止为客户签发 Cloudflare Inc CA (DigiCert) 证书
loc 标题长度限制

昨晚翻文档,看见 Cloudflare 开始实施 DigiCert 证书退役计划,原文如下:

In the latter half of 2022, Cloudflare will begin deprecating DigiCert as a Certificate Authority available for a variety of certificates (Universal, Custom Hostname, and Advanced (more details coming soon)).
在 2022 年下半年,Cloudflare 将开始弃用 DigiCert 作为可用于各种证书(通用证书、自定义主机名 (SaaS) 证书和高级证书)的证书颁发机构。

通用证书:通过 Nameserver 方式(官方提供的方式)或 Partner 方式接入,由 Cloudflare Inc RSA CA 和/或 Cloudflare Inc ECC CA 颁发,commonName 为 sni.cloudflaressl.com,organizationName 为 Cloudflare Inc 的证书
自定义主机名证书:通过 SaaS 实现 CNAME 接入的主机名的证书,与通用证书无异
高级证书:$10/mon,可选证书颁发机构,commonName 为自己的域名

也就是说,接入 Cloudflare 后 Cloudflare 自动为你颁发的 DigiCert 边缘 SSL 证书的日子一去不复返了。

不过,去年就接到报告说 Cloudflare 随机对新接入的 Free 计划的域在测试颁发 Let’s Encrypt 证书 (R3, E1) 等,今年底打算让 Let’s Encrypt, ZeroSSL (Sectigo) 和 Google Trust Services 彻底替代掉 Cloudflare Inc CA 也算是意料之中了。

Cloudflare will stop using DigiCert as an issuing certificate authority (CA) for new Universal certificates.
This will not affect existing Universal certificates.
This process will begin for Enterprise zones on September 12, 2022.
Cloudflare 将停止使用 DigiCert 作为新通用证书的颁发证书颁发机构。
这不会影响现有的通用证书。
此过程将于 2022 年 9 月 12 日开始适用于 Enterprise 订阅的域。

插一句,此操作必然会在 2023 年 12 月 31 日前对所有级别的订阅的域实装——因为 Cloudflare Inc ECC CA-3 有效期截至 2025 年 1 月 1 日。
针对自定义主机名证书(我也很好奇为什么这么称呼),Cloudflare 给出了终止期限:

On September 26, 2022, Cloudflare will stop using DigiCert as an issuing certificate authority (CA) for new custom hostname certificates. This will not affect existing custom hostname certificates.
On October 31, 2022, Cloudflare will stop using DigiCert as the CA for custom hostname certificate renewals. This will not affect existing custom hostname certificates, but only certificate renewals.

简单来说就是 2022 年 9 月 26 日后新接入的 SaaS CNAME 的证书将由 Let’s Encrypt 和 Google Trust Services 而不再由 Cloudflare Inc CA (DigiCert) 颁发;2022 年 10 月 31 日的前 30 日内过期的 SaaS CNAME 的证书将由 Let’s Encrypt 和 Google Trust Services 而不再由 Cloudflare Inc CA (DigiCert) 颁发。

Cloudflare 称此举为其促进自动化的发展的举措。

汇报完毕,总结一下:
1. 一般通过用户完全不用担心这个变化,不论是 DigiCert 还是 Let’s Encrypt 还是 Sectigo 还是 GTS 都一样用,不影响站点的打开;
2. Cloudflare Inc CA (DigiCert) 的证书是 OV 且有效期长达一年,Let’s Encrypt 和 GTS 证书为 DV 且有效期为 90 天。不过,谁在乎呢?反正 Cloudflare 又不是自己的,续订都自动化处理,commonName 显示自己的域名不香么?
3. 客户仍然可以通过升级订阅计划到 Business 和 Enterprise 以上传自定义 SSL 证书。

Sources [1 (https://developers.cloudflare.com/ssl/ssl-tls/migration-guides/digicert-update/), 2 (https://developers.cloudflare.com/ssl/ssl-tls/migration-guides/digicert-update/universal-certificates/), 3 (https://developers.cloudflare.com/ssl/ssl-tls/migration-guides/digicert-update/custom-hostname-certificates/)]

Cloudflare 对自己网络中的客户发免费证书也不能说是 DigiCert 的 subCA 搞慈善,Azure 不也为 CDN 用户提供免费的 DigiCert OV 证书(当然也是由 mIcRoSoFt 背书啦,commonName 还是客户自己的)么?TrustAsia 和 Encryption Everywhere 免费单域名就更不用说了。
从过程和结果来讲可能还是滥用太严重,Cloudflare 直接不背书了,开摆。
另外 CA 和 commonName 一换我不知道「认定 高墙 会针对 Cloudflare 免费证书进行干扰和阻断」这些个没啥依据的猜想该怎么继续成立。

围观者 发表于 2022-9-5 16:38
啥意思啊,谁用一句话总结一下

一句话总结:没有影响,不用管。

其实没什么影响,反正都是自动完成不用人去管Cloudflare 将于 2022 年下半年开始停止为客户签发一年期证书
啥意思啊,谁用一句话总结一下
没影响的吧应该?可能不太方便 SNI 伪装?不懂
专业座鸡,好像没什么

ByteCat 发表于 2022-9-5 17:21
没影响的吧应该?可能不太方便 SNI 伪装?不懂

无关,Cloudflare 本就不支持域前置

以前CF签发的后续都转到Let’s Encrypt?