由于上一年所使用的TrustAsia ECC DV TLS CA G2因从一年有效期修改到3个月,在本月5号到期后决定更换到另外一家免费的SSL证书。
原计划是使用Buypass的免费证书的,因为其能提供180天的免费证书。但是我在申请时却被All authorizations were not finalized by the CA.错误,不停的测试都被速率拦截了都一直不能成功。
一开始以为是CSR的原因,不指定CSR亦是一样的错误,看着时间很晚只好放弃了……
到了白天使用.cn域名来测试先,哪知又是另外一种错误了:
An unexpected error occurred:
acme.errors.ClientError: (<Response [403]>, DeserializationError("Could not decode 'subproblems' ([{'type': 'urn:ietf:params:acme:error:caa', 'title': 'Forbidden', 'status': 403, 'detail': 'Domain is rejected due to CAA forbids issuance', 'identifier': {'type': 'dns'}}, {'type': 'urn:ietf:params:acme:error:caa', 'title': 'Forbidden', 'status': 403, 'detail': 'Domain is rejected due to CAA forbids issuance', 'identifier': {'type': 'dns'}}]): Deserialization error: Could not decode 'identifier' ({'type': 'dns'}): Deserialization error: The following fields are required: value"))
在茫茫的错误信息中只看懂了一个CAA,但是感觉不是主要问题其他的(.com域名)起码还会有验证解析的等待,而这个域名(.cn域名)直接就报错了。
深思几秒,虽然还有2~3天的测试机会但还是先换另外一家的申请个SSL先吧,ZeroSSL其实在去年(甚至可能更早)就有关注到,但是当时有TrustAsia一年期的给主要域名,其他次要的使用Cloudflare无需理会就只是关注但没有注册账号。
这次因为需要用不得不注册了一个账号,在Web界面上3个90天SSL证书的免费名额,不知道是不是会刷新的还是永久3个了,不过好像通过ACME申请没有限制?
一开始用的是自定义CSR来申请ECC的证书的,哪料到不知道是CSR生成的格式不兼容的原因还是咋的,签发的证书没有包含到www域,从而导致域名无法在当前的地址使用。就这样废掉了一个额度,还剩2个额度为避免意外下面的我只好让系统自动生成CSR,虽然这样密钥是在SSL签发机构处且是RSA的,但是没有办法只能先这样将就将就用用了……
总不能又回到没有SSL的时代吧!
貌似现在使用的CDN不支持自动签发SSL证书,之前都不怎么关注在我这次更新CDN证书时才了解到上家使用的CDN支持代签发SSL证书(可能也是3个月有效期的那种,但是能自动化签发的就算是1天的也不是问题)的功能,如果现在使用的也支持的话我可能可以使用这个代签发证书的功能,源站的SSL证书就自己自签一个长有效期的或者是过期也不管都无所谓,可惜的是当前使用的CDN暂时没有找到是否支持,上一家的CDN又没实名无法继续使用。
在Buypass的错误中有个CAA,应该算是CAA中没有相应CA的记录吧?可是问题是我的域名解析中没有CAA的,而且再说没有配置CAA解析的情况下ZeroSSL却是能签发下来这个怎么说。
不知道跟Buypass更换了公司(股东?)有关联的说……
ChiuYut
2025年04月03日