Post view

不能向Comodo、Sectigo更新SSL證書,直接從企業級證書EV TLS/SSL Certificate換成免費Let’s Encrypt

HTTPS加密使用的Extended Validation (EV) SSL Certificate的問題

在「2019年3月18日星期一」到期以前大約30天,我收到comodo寄來的Renew更新認證的通知信,我以為只要「續訂EV認證」就可以簡單的解決,想不到竟然完全不是!原來在Extended Validation (EV)企業級證書,所謂的「Renew」就跟第一次購買EV認證完全相同!每次都必須做相同的公司認證!

很可能是comodo有許多專業人員離職,也可能是comodo賣給Sectigo,在2年前第一次申請Extended Validation (EV)企業級SSL證書的時候,comodo的專業人員會到台灣的政府官方網站,查詢insoler這個網域的公司營業登記相關資料。政府公開提供的公司資料當然不可能會有偽造的問題。

但是在2年後的現在,Sectigo竟然沒人會去台灣的政府官方網站,查詢公司資料,而是去我從來都不知道,也沒有去過的D&B的爛網站去查詢資料!

https://www.dnb.com.tw/

企業不可或缺的新世代智能數據平台

建構於鄧白氏環球編碼 (D-U-N-S Number®)之全球最大商業數據庫, 鄧白氏D&B Hoovers全球商業資料庫採用先進的分析技術提供新世代智能數據解決方案。該平台透過清晰視覺化用戶界面,提供即時更新商業數據,預測分析到鄧白氏之專業洞察,透過D&B Hoovers全球商業資料庫所提供的真知灼見 - 幫助團隊更快地建立商機,縮短市場與業務開發周期,提供探勘業務跡象到交易獲利的快速通道。

最完整、最精準的全球商業智能資料庫

從公司資料、整體產業概況、競爭情況、行業訊息、即時提醒&市場更新訊息、連絡資料,D&B Hoovers提供您欲了解之公司最全面性視野與市場狀況,以便您可隨時掌握商機脈動,並與潛在客戶或客戶進行具關連性的深度對話。

老實說,區區的台灣「.com.tw」公司網站或是位於美國的這個公司網站:

https://www.dnb.com/

都絕對沒有「政府網站」那樣有公信力可言!對我來說,從上面查到的公司資料,才真的是不可信賴的資料!想不到現在的Sectigo竟然去查毫無公信力可言的D&B爛網站,來確認公司資料!這個D&B爛網站有能力取代「政府」?

更荒謬可笑的是,Sectigo在D&B找到的資料與2年前申請時原本的公司資料不同,Sectigo竟然還要我去D&B更改公司資料!如果任何人都能註冊帳號,隨意更改公司資料,這不就更可以證明D&B爛網站毫無「公信力」可言!

你可以在底下這個畫面看到,需要經過許多的認證手續,才能Renew已經「已經到期」的EV憑證!這是已經支付2年的EV證書費用(可以直接使用網路信用卡刷卡付費)才能看到的畫面。

由於我是在2年前買了EV認證,當年還沒有通過「歐盟法規」,沒有個人隱私的問題。所以只要確認公司相關資料,就可以取得HTTPS的EV認證。但是負責管理全球網域的「ICANN」因應新的「歐盟法規」移除了網域名稱的「個人隱私」資料,最大的差異是不再登記email,導致許多SSL認證的公司,包括comodo都無法從WHOIS找到任何的Email Address資料!

事實上,在「登記網域資料」的一開始我就不認為應該要公開該網站的連絡人相關資料!所以無論是我最早使用的brentsu.com、bnw.com.tw,以及現在的insoler.com,我在訂購網域時,我都是在申請表格上輸入「垃圾Email Address」!

所謂「垃圾Email Address」就是Gmail、MSN、Yahoo等電子郵件!這些屬於各大網路公司的「Email Address」事實上並不屬於我個人擁有!所以我一直以來都是用來收「各種垃圾信、各種垃圾通知信、各種垃圾廣告信」的「垃圾信箱」!

既然過去的WHOIS要公開個人email資料,我當然是公開「垃圾Email Address」。但是在「歐盟法規」正式通過以後,就不能再公開任何的email,這也導致還沒有放棄email認證的SSL發行公司,還在使用email認證!

網站的HTTPS加密使用的EV SSL Certificate安全證書,已經在「2019年3月18日星期一」到期,卻因為「歐盟法規」的關係,被Hinet與ICANN移除了網域名稱公開資訊的「WHOIS」裡面的email信箱資訊,導致comodo因為無法找到「WHOIS」的email,而無法完成EV認證!

雖然Sectigo也可以像Let’s Encrypt一樣,在網站上新增一個加密的純文字檔案,來認證我確實擁有insoler這個網域,可以在網站的指定檔案夾裡面設置加密的純文字檔案來完成認證。但就算我已經完成前面2個任務,Sectigo他們也無法完成他們自己必須完成的後面3個任務!

今天comodo又寄了新的通知信件,提醒我要Renew Your Expiring SSL Certificate的時間只剩下「5天」!最後「2天」又寄非常無聊的倒數通知信,告訴我只剩「2天」!

事實上我已經訂購了新的EV SSL Certificate認證,但是因為WHOIS移除email資訊,再加上comodo又必須像第一次購買EV SSL Certificate認證一樣,重新認證電話、公司登記證等資訊,我非常懷疑能否趕在倒數最後一天以前完成新的EV認證!最後還是因為Sectigo自己的問題,導致無法renew新的SSL證書!

你可以看到目前Sectigo網站上有4種不同的SSL證書,入門等級是Domain Validation (DV) TLS/SSL Certificate,只要US$99,中間是Organization Validation (OV) TLS/SSL Certificate,每年要US$179,最高等級是Extended Validation (EV) LS/SSL Certificate,每年要US$249。雖然還有最右邊的UCC Multi-Domain TLS/SSL Certificates,每年要US$285。但這個是適用在:

UCC TLS / SSL證書或Exchange TLS / SSL專為Microsoft Exchange和/或Microsoft Office Communication Server環境構建。

使用MS®Exchange2007或更高版本的Office Communications Server環境的組織可以將所有證書(最多100個)合併到Comodo CA的單個UC證書中。

insoler是使用macOS系統與Mac mini電腦架設。我們不使用Microsoft Exchange和/或Microsoft Office,甚至是Windows!所以就算UCC Multi-Domain只要US$1美元,我也不能買這個證書。

從企業級Extended Validation (EV)降級到免費SSL證書

我買了2年的企業級Extended Validation (EV)證書,但是在這2年內,似乎無人在意,也無人關心insoler網站是「企業級SSL證書」的安全網站!在這2年內註冊的新帳號,也幾乎是註冊之後就再也不來!從來沒看過有新的帳號再次回到insoler!

既然無法取得最高等級的Extended Validation (EV)企業級證書,那麼換成最低等級的Domain Validation (DV) TLS/SSL Certificate總可以吧?竟然不行!

既然無法取得最頂級的「Extended Validation (EV) SSL Certificate」企業級延伸SSL證書,又不能降級到DV證書,我就乾脆從「最頂級EV SSL」跳過最廉價的「DV SSL」直接改用「完全免費Let’s Encrypt」加密!

其實這並不是我第一次使用「免費SSL證書」!在2年前購買最頂級的「Extended Validation (EV) SSL Certificate」企業級延伸SSL證書以前,我試用了一年的「免費SSL證書」。由於只能「免費試用一年」所以在1年免費試用期滿以後,我決定跳過入門的DV等級,直接購買最頂級的「Extended Validation (EV) SSL Certificate」企業級延伸SSL證書!因為insoler是「公司網站」而非「個人網站」。

雖然是非常小的奈米公司的網站,但因為無人在意insoler是使用「企業級延伸SSL證書」還是「免費SSL證書」所以就乾脆回到免費SSL證書!但是這次是改用「Let's Encrypt - Free SSL/TLS Certificates」提供的SSL證書。

點選網址前面的「加密鎖」(除了EV SSL證書是綠色,其他都是灰色)就會看到這樣的畫面:

按一下「顯示憑證」就會看到我們目前使用的是完全免費的「Let's Encrypt - Free SSL/TLS Certificates」。我知道也有非常多的個人網站,團體網站、或是小型的公司網站也是使用「Let's Encrypt」提供的加密服務。

雖然是「完全免費」但是「Let's Encrypt」提供的加密證書的有效期限竟然只有3個月!在3個月到期以前必須自己手動renew,因為「免費」就表示沒有「售後服務」也無法直接從他們的網站上直接renew,可說是非常的麻煩!

因為我是把新的Dolphin 7.4與PHP 7.1.23、macOS High Sierra 10.13.6安裝在另外一台Mac mini主機上。因此在升級以前的舊版Dolphin 7.3.5與PHP 5.5.38網站,目前還在完整的在另外一台Mac mini主機上,因為還需要比對新舊版本之間的差異,暫時還沒有重新安裝。

我只有把原本的網址改成mail.insoler.com而已。這個網址是「insoler研究室」所以只能在insoler內部開啟,你無法從外面開啟這個網站。用同樣的方式點一下網址前面「灰色的鎖」就會看到這樣的畫面:

你可以看到,這是2年前取得的Comodo證書。到期日是已經過期的2019年3月18日星期一。

按一下「詳細資訊」就可以看到「Extended Validation (EV) SSL Certificate」企業級延伸SSL證書的內容。

請注意「公用密鑰資訊」的部分,比較一下「Extended Validation (EV) SSL Certificate」企業級延伸SSL證書,以及完全免費的「Let's Encrypt - Free SSL/TLS Certificates」的「公用密鑰資訊」,看不出有什麼很大的差異,都是256 byte與2048 bit。

如果你使用的是Google、Firefox、Windows瀏覽器,也可以按一下網址前面的「加密鎖」查看「SSL加密證書」。

這裡是使用Google瀏覽器,得到的畫面幾乎與Safari完全相同。

雖然完全免費的「Let's Encrypt - Free SSL/TLS Certificates」的SSL證書只有非常短的3個月,但是「公用密鑰資訊」看不出有什麼很大的差異,所以沒有其他問題,或是沒有許多insoler網友期望我們回到EV SSL證書的話,我應該會一直使用免費的「Let's Encrypt」不會再回到EV SSL證書。

蘇言霖 2019/03/21 2 1275
Comments
Order by: 
Per page:
 
  •  eurasia: 
     

    其實你無需生氣,因為台灣民眾對於SSL是什麼都搞不清楚了,何況是SSL證書又有分好幾種類別。事實上,大多數台灣民眾對於 "資安" 是毫無所悉的,我每個月要去總公司開一次有關WEB SECURITY的會議,因會議時間常落在公司最繁忙的時間點,竟有不同部門同事因常在這個時間點找不到我,事後向問我表示 "這會議很重要嗎?",我常常雙手一攤,面露苦笑。

    資訊人由如螞蟻社會裏的工蟻一般,每天為了這事那事煩惱,但別人永遠搞不懂我們在做什麼在忙什麼,幹這行要有不求回報的覺悟,這樣每天上班才能好過一些~

     
     2019/06/161 replies1 replies 
    0 points
     
Rate
0 votes
Post info
蘇言霖
「超級懶貓級」社群網站站長
2019/03/21 (557 days ago)
Actions