备案回迁小记和暂时停用StartCom证书

其实本人早前一直属于那种国外主机主义者,因为服务器在国外,就算延迟大,但可以作死不被带去喝茶免备案。而且国外主机的网络特好,git代码是几秒钟的事情,而且随随便便就来千兆网口,随随便便就给你配SSD,体验爽到飞起来。

正当本人还很享受vultr家的鬼子国日本主机的时候,突然就收到一条来自企鹅云的邮件,内容如下:

尊敬的腾讯云客户:

您好,平台例行巡检发现如下域名暂无备案号,且有流量指向您的云主机IP,为避免您的业务受到影响,请于2016年12月24日前确认是否是您的域名,谢谢!

涉及的腾讯云帐号:*********
涉及的域名:xzclip.cn

……

这个企鹅云云主机本来属于“云+校园”学生扶持计划中的资源,不过因为它只有1Mbps的带宽,面对一点点访问量就跪了,甚至自己使用一个WordPress系统都能吃满了。而加配带宽简直花钱如流水,所以说这个主机一度只沦为我的实验环境。实验归实验,虽然没有对外访问,但是还是解析了域名,使用了http访问

结果这次因为多玩了点东西就被扫出来了,趁着考试周,想着不妨就把国外主机上自己的blog关站处理,给国内主机备案让路吧。

备案的好处

  1. 首先很明显的,当然就是可以使用国内的主机进行网页发布了。就算使用全https可以躲过一时,以后一旦被发现了那就是妥妥的关站了。
  2. 至少可以使用大多数国内CDN服务了。本站采用了https,资源数据也要使用https传输。看过很多云厂商的服务,大概就只有七牛可以提供自有域名的ssl bucket服务了。
  3. 据说就算解析到外国主机也会变得流畅。(据说而已哦)
  4. 据说在微信分享没那么容易被转码。(也是据说,虽然最近没怎么被转码就是了)

备案过程

于是我开始撸起袖子着手备案。其实备案过程很简单,写好资料上传好证件照片之后,鹅厂给了一份表格,打印下来手抄一段文字加上签字,上传上去,等待初审就好,一般都没问题的。随后拿到牌照用的幕布之后,自拍一张上传,记得留够边缘的空位,个人备案手续基本上就好了剩下漫长的等待了。
(话说,那个幕布拍照真的好像…就是那种迷途少年被抓住了要被拍一张照片留底那种…)

经过漫长的等待,终于在2017年第一个工作日——1月3日,我的备案号批下来了。这个过程其实很顺利,就是等得比较久,不过因为听说有不关站备案导致失败的,所以说这段时间,我连解析都取消掉了,也就是说这段时间的灵感都浪费在脑子里了qwq,略为残念。

不过,现在备案完成了。同时,在备案的过程中,我完成了站点的迁移,也发掘了鹅厂CDN提供静态资源的用法,成功用1M小水管推起了一个WordPress站,整个过程感觉还是挺开心的。

StartCom证书的乌龙

要进行动静态分离,必须使用另外一个域名。因为本站采用了https加密,所以说对应地,要求静态资源也是https方式提供。这时候我还是向StartCom求教了。证书签下来这个过程简直再顺利不过了,不过自己在底下调试静态资源站时却发现,StartCom新签下来的证书提示二级颁发证书不受信任。

其实早在去年签一个同时带根域和www的证书时,我已经发现网页底下的红字,意思大致是这样子的:

Mozilla和Chrome基金会宣布,不再信任StartCom根证书。其在2016年10月21日后颁发的证书也不再受信任。

查了一下之后,发现是和沃通丑闻有关。[1][2]但是可以肯定的是,这一波丑闻势必会让一大批“公知”级别的人物,来带领大家手动revoke掉系统中的沃通和StartCom根证书

其实现在比较新的操作系统,比如macOS 10.12,是拥有一个完整的证书有效性判断规则的。举个例子,我去年10月签发的StartCom证书在我的电脑上依然显示着信任状态,而新签发的就不行了。这个现象很好地说明了一点——不再受信任的根证书无需被手动标记为“不信任”,系统更新已经能达到比较安全的效果了。下图为某高校没有配置好证书链、沃通CA被撤销导致无法找到信任链的惨况。

invalid-wosign-cert

本站目前采用了企鹅云提供的亚洲诚信DV证书,亚诚属于Symantic的合作伙伴,感觉会比StartCom靠谱很多。此外,OCSP的服务器连接顺畅了很多,而证书本身自带Certificate Transparency,无需使用nginx-ct提供。

new-trustasia-cert
元旦假期过去了,备案迁移已经告一段落,接下来就是振奋人心(误)的final了。鸡某某在此还是祝大家元旦快乐,有final的各位都要加油,开开心心回家过个好年!

alphaxz@SCUT


Reference

[1]. Distrusting New WoSign and StartCom Certificates, Mozilla Security Blog
[2]. 如何看待 Mozilla 决定停止信任沃通 (WoSign) 和 StartCom 颁发的证书?, 知乎

发表评论

电子邮件地址不会被公开。 必填项已用*标注