关于BuyPass
BuyPass是挪威的一家可信的CA机构,当前正在运营的Root根证书有Buypass Class 3 Root CA,支持DV、OV、EV证书的颁发。用户可以通过ACME颁发有效期为180天的单域名证书,每张证书最多支持5个域名。也是很多人选择的证书机构。但是在8月18日给ACME账户发送了一封通知,通知中指出,将停止签发TLS/SSL证书,企业证书产品将继续提供,ID 和数字签名中的其他解决方案不受影响。
论坛地址
时间节点
2025年9月15日停止ACME账户注册
2025年10月15日停止证书申请
2025年10月31日停止证书签发
2026年4月15日所有GoSSL证书将过期
2026年10月31日TLS/SSL证书最后到期时间,吊销与证书状态服务将停止
结语
虽然BuyPass根证书要到2040年才会到期,但是确实,当前TLS/SSL证书竞争很激烈。基本上大多数都有免费证书或者低价证书,但是对CA来说成本估计太高,对于我们来说都希望能够用到低成本的SSL证书。免费证书对很多付费证书的冲击比较大,大多数个人开发者更希望使用低价的SSL证书(最好是免费的[/狗头])。当前SSL.COM、Digicert、Sectigo等这些大厂基本上都是提供有免费的SSL证书。当然Google、Let's这些只提供免费DV证书的厂商就不说了。
但众所周知,BuyPass的吊销与证书状态服务的域名在国内是没有办法访问的,一部分原因是GWF,另一部分原因是BuyPass阻止中国大陆数据访问。导致了在火狐浏览器会出现无法验证证书有效以及打开网站速度慢等现象。
想必很多开发者都更倾向于时间较长的SSL证书,包括小周也是,希望直接通过一张一年期的通配符SSL证书实现一年内不用重复布置SSL证书,需要使用时也可以直接使用。当前一些自动化部署程序申请失败率还是有点高。
GlobalSign、Certum这些厂商基本上没有免费的SSL证书以供选择,但是好在Certum的DV SSL价格普遍较低,是个人开发者的不错选择,当然Sectigo的Positive也是。
GlobalSign的证书其实很不错,包括之前萌咖还在出售Alpha SSL的时候,真的很喜欢用,基本上不会出现老旧设备不信任的现象。之前小周有段时间,签发的SSL.COM的2022年根的证书,我靠,差点没给我气炸,对接支付宝支付回调,始终收不到支付宝的异步通知,排查一大圈发现是SSL证书的问题,幸好当时证书是双根,支持AAA Certifacte和SSL.COM,然后强制使用AAA的根才解决问题,后来又有朋友反馈说IP归属API显示证书请求出错,然后一看,也是使用的SSL.COM的2022的根,有些客户端没办法主动自动识别根证书,然后也是手动使用AAA的根才解决问题。但是新的问题是火狐在当你使用AAA的根时,会报无法识别证书签发者,就很无语,好在火狐多访问几次之后还能够主动识别SSL.COM的根证书。
建议大家还是逐渐向证书自动化过度吧,无论是ACME.SH还是Certbot亦或是其他的证书工具,建议大家还是逐渐向自动化靠齐,选择一个广泛信任的CA机构,避免出现问题。
评论区