Cloudflare 将于 2022 年下半年开始停止为客户签发一年期证书-iks

原标题：Cloudflare 将于 2022 年下半年开始停止为客户签发 Cloudflare Inc CA (DigiCert) 证书
loc 标题长度限制

昨晚翻文档，看见 Cloudflare 开始实施 DigiCert 证书退役计划，原文如下：

In the latter half of 2022, Cloudflare will begin deprecating DigiCert as a Certificate Authority available for a variety of certificates (Universal, Custom Hostname, and Advanced (more details coming soon)).
在 2022 年下半年，Cloudflare 将开始弃用 DigiCert 作为可用于各种证书（通用证书、自定义主机名 (SaaS) 证书和高级证书）的证书颁发机构。

通用证书：通过 Nameserver 方式（官方提供的方式）或 Partner 方式接入，由 Cloudflare Inc RSA CA 和/或 Cloudflare Inc ECC CA 颁发，commonName 为 sni.cloudflaressl.com，organizationName 为 Cloudflare Inc 的证书
自定义主机名证书：通过 SaaS 实现 CNAME 接入的主机名的证书，与通用证书无异
高级证书：$10/mon，可选证书颁发机构，commonName 为自己的域名

也就是说，接入 Cloudflare 后 Cloudflare 自动为你颁发的 DigiCert 边缘 SSL 证书的日子一去不复返了。

不过，去年就接到报告说 Cloudflare 随机对新接入的 Free 计划的域在测试颁发 Let's Encrypt 证书 (R3, E1) 等，今年底打算让 Let's Encrypt, ZeroSSL (Sectigo) 和 Google Trust Services 彻底替代掉 Cloudflare Inc CA 也算是意料之中了。

Cloudflare will stop using DigiCert as an issuing certificate authority (CA) for new Universal certificates.
This will not affect existing Universal certificates.
This process will begin for Enterprise zones on September 12, 2022.
Cloudflare 将停止使用 DigiCert 作为新通用证书的颁发证书颁发机构。
这不会影响现有的通用证书。
此过程将于 2022 年 9 月 12 日开始适用于 Enterprise 订阅的域。

插一句，此操作必然会在 2023 年 12 月 31 日前对所有级别的订阅的域实装——因为 Cloudflare Inc ECC CA-3 有效期截至 2025 年 1 月 1 日。
针对自定义主机名证书（我也很好奇为什么这么称呼），Cloudflare 给出了终止期限：

On September 26, 2022, Cloudflare will stop using DigiCert as an issuing certificate authority (CA) for new custom hostname certificates. This will not affect existing custom hostname certificates.
On October 31, 2022, Cloudflare will stop using DigiCert as the CA for custom hostname certificate renewals. This will not affect existing custom hostname certificates, but only certificate renewals.

简单来说就是 2022 年 9 月 26 日后新接入的 SaaS CNAME 的证书将由 Let's Encrypt 和 Google Trust Services 而不再由 Cloudflare Inc CA (DigiCert) 颁发；2022 年 10 月 31 日的前 30 日内过期的 SaaS CNAME 的证书将由 Let's Encrypt 和 Google Trust Services 而不再由 Cloudflare Inc CA (DigiCert) 颁发。

Cloudflare 称此举为其促进自动化的发展的举措。

汇报完毕，总结一下：
1. 一般通过用户完全不用担心这个变化，不论是 DigiCert 还是 Let's Encrypt 还是 Sectigo 还是 GTS 都一样用，不影响站点的打开；
2. Cloudflare Inc CA (DigiCert) 的证书是 OV 且有效期长达一年，Let's Encrypt 和 GTS 证书为 DV 且有效期为 90 天。不过，谁在乎呢？反正 Cloudflare 又不是自己的，续订都自动化处理，commonName 显示自己的域名不香么？
3. 客户仍然可以通过升级订阅计划到 Business 和 Enterprise 以上传自定义 SSL 证书。

Sources [1 (https://developers.cloudflare.com/ssl/ssl-tls/migration-guides/digicert-update/), 2 (https://developers.cloudflare.com/ssl/ssl-tls/migration-guides/digicert-update/universal-certificates/), 3 (https://developers.cloudflare.com/ssl/ssl-tls/migration-guides/digicert-update/custom-hostname-certificates/)]

---

Cloudflare 对自己网络中的客户发免费证书也不能说是 DigiCert 的 subCA 搞慈善，Azure 不也为 CDN 用户提供免费的 DigiCert OV 证书（当然也是由 mIcRoSoFt 背书啦，commonName 还是客户自己的）么？TrustAsia 和 Encryption Everywhere 免费单域名就更不用说了。
从过程和结果来讲可能还是滥用太严重，Cloudflare 直接不背书了，开摆。
另外 CA 和 commonName 一换我不知道「认定 高墙 会针对 Cloudflare 免费证书进行干扰和阻断」这些个没啥依据的猜想该怎么继续成立。

热议
推荐楼 dvbhack 6天前

啥意思啊，谁用一句话总结一下

一句话总结：没有影响，不用管。

2楼 LoliR 6天前

其实没什么影响，反正都是自动完成不用人去管

3楼 围观者 6天前

啥意思啊，谁用一句话总结一下

5楼 ByteCat 6天前

没影响的吧应该？可能不太方便 SNI 伪装？不懂

6楼 hcyme 6天前

专业座鸡，好像没什么

7楼 iks 6天前

没影响的吧应该？可能不太方便 SNI 伪装？不懂

无关，Cloudflare 本就不支持域前置

8楼 马保国大师 6天前

以前CF签发的后续都转到Let's Encrypt？

9楼 iks 6天前

以前CF签发的后续都转到Let's Encrypt？

是
也有可能是 Google Trust Services

10楼 gajiodgaj 6天前

一只白**一直香

12楼 天朝网络 5天前

没啥影响的·~

13楼 inighty 5天前

你的标题意思有问题吧我看了下 应该是说cf不用DigiCert证书 换别的证书了不是说不给用户签发证书了

14楼 iks 5天前

你的标题意思有问题吧我看了下 应该是说cf不用DigiCert证书 换别的证书了不是说不给用户签发证书了 ...

Cloudflare 签发的一年期证书就只有 DigiCert 证书，所以没有问题

15楼 DogeLee2 5天前

没啥影响，let's 证书老win7设备可能有点不兼容，不过也没事，还有谷歌的证书呢，三个月反正都是自动的也无所谓

16楼 AaronLee 昨天21:57

应该还是有影响的，之前（大概一年前）使用 cname 添加了个域名，颁发的证书就是 Let's Encrypt，刚颁发时还好，但续订给我发邮件，要在dns解析中添加TXT记录，之后就研究了一下如何切换1年证书，不知道现在有没有变化。

17楼 hardwar 昨天22:00

无事发生 签的证书肯定还是wildcard吧

18楼 orwtmc 昨天23:19

不影响 一般人无所谓的

19楼 holinhot 昨天23:43

主要还是digicert每年要交上百万刀费用，换成LE和GG完全不要钱。还可以双证书互为备胎。缺点就是兼容性了。在乎这个的只能开200刀套餐上传自己的证书了
说话现在Google Trust Services正式上线了吗

20楼 iks 2小时前

主要还是digicert每年要交上百万刀费用，换成LE和GG完全不要钱。还可以双证书互为备胎。缺点就是兼容性了。 ...

之前有管道可以直接传自定义证书上去而不用处在相应的订阅中

Cloudflare 在邮件里告知要用 GTS 和 ZeroSSL ，但目前没见到相应的迹象。

申明：本文内容由网友收集分享，仅供学习参考使用。如文中内容侵犯到您的利益，请在文章下方留言，本站会第一时间进行处理。