COMODO领衔全球SSL证书市场份额

在全球范围内,可以看到Comodo 目前占有最大的市场份额(25.2%),其次为GeoTrust(18.4%),紧接着为OpenSSL(14.5%)。而从市场的分布来看,虽然Comodo占据着最大的市场份额,但整个市场仍然具有多元化的。

SSL证书,COMODO,通配符证书,https认证

Alexa Top 1M网站中SSL的市场份额

数据来源:Datanyze

我们搜集了从2014年一月到2015年4月之间Comodo ,GeoTrust,OpenSSL以及Godaddy这四家公司的一年内的客户增量变化得到如下图:

SSL证书,COMODO,通配符证书,https认证

2014-2015年Comodo、GeoTrust、OpenSSL以及Godaddy四家公司的用户增量曲线图

数据来源:Datanyze

 

Comodo 的 客户增加量除了2014年的1月和6月为负值以外,即用户减少,全都为正值,即用户数持续的增加,并且2015年的开初有了一个巨大的增加。高达 574,101。总体看起来Comodo 2015年的客户增加量都超过了2014年。OpenSSL在2014年从1月起到6月间持续流失顾客,到到了2014的后半年后形势就发生了逆转,用户 持续的增加,也在2015年的1月达到了一个最大值。相比前两家的大起大落GeoTrust和Godaddy的用户增量就相对更加稳定。

 

SSL证书,COMODO,通配符证书,https认证

2015年3月 中国数字证书SSL市场份额

数据来源:Datanyze

相较于国际市场,中国数字证书的SSL证书市场的份额还是有所区别,中国市场上OpenSSL与Comodo并列第一位,其次为GeoTrust,Godaddy则在第五位。

然而,整个SSL证书市场可以预计增长远远超出目前使用有效的SSL证书的网站的20%。这不仅是因为加密成为不断增长的SaaS市场必不可少的,但也因为谷歌开始在他们的排名有利于HTTPS加密的网站,只要谷歌表示,网站管理员都会听。

原文地址:https://www.chinassl.net/ssl_industry_news/n562.html

SSL证书在线自助申请-CHINASSL

1.登录中国证书CHINASSL官方网站https://www.chinassl.net,选择您需要的SSL证书产品

中国证书CHINASSL网站

2.下面以Comodo Positive SSL 证书为例,演示整个SSL证书够买流程。点击立刻够买

Comodo Positive SSL 证书

3.把您生成好的CSR文件粘贴到CSR文本框里面,输入您的域名管理员邮箱,点击添加到购物车

SSL证书在线够买流程

如果您还没有生成CSR文件,请点击CSR在线生成工具,生成CSR文件

注意:用户注意到在CHINASSL.NET够买证书会跳转到亚狐空间YAHUHOST,这里请不要担心,中国证书CHINASSL.NET是亚狐信息科技有限公司旗下网站,为了方便管理,所以使用了统一的客户管理系统,够买全程使用SSL加密,请放心够买。

4.信息确认无误后,点击结账

SSL证书在线够买流程

5.新客户填写用户资料,选择支付方式,点击完成订购;已有亚狐空间YAHUHOST帐号的用户,输入您的帐号密码后,点击完成订购

SSL证书在线够买流程

6.支付账单,关于支付方式详情见 在线支付 | 转账汇款

SSL证书在线够买流程

7.返回用户中心,点击导航菜单我的服务我的服务选项

SSL证书在线够买流程

8.点击证书后面的查看详情

SSL证书在线够买流程

9.点击进入SSL证书配置向导

SSL证书在线够买流程

10.填写完成所有信息,点击点此继续>>

SSL证书在线够买流程

11.确认系统识别出来的CSR信息与您申请证书的信息一致,并选择系统列出的有效证书审批者邮箱,点击点此继续>>

SSL证书在线够买流程

12.配置完成,看到此页面表明您的证书已经配置完成,稍后你的验证邮箱会收到一封来自证书颁发机构的邮件。

SSL证书在线够买流程

13.登录您的验证邮箱,检查是否收到来自证书颁发机构的邮件,收到后打开邮件,按说明点击邮件里面的链接即可完成验证。

SSL证书在线够买流程

14.复制验证代码,点击验证链接

SSL证书在线够买流程

15.粘贴验证代码,点击NEXT

SSL证书在线够买流程

16.出现Thank you页面表明已经完成验证,点击Close Window关闭该页面

SSL证书在线够买流程

至此证书已经成功够买并完成验证,域名型证书一般很快就可以签发。

查询证书

证书签发后去哪里可以查询到证书呢,这里有2种方式:

第一种

登录到你的够买邮箱(用于亚狐空间YAHUHOST登录用的邮箱)查询证书

SSL证书在线够买流程

第二种

1.登录亚狐空间YAHUHOST用户中心,点击导航菜单我的服务我的服务选项

SSL证书在线够买流程

2.点击证书后面的查看详情

SSL证书在线够买流程

3.把SSL证书与中级证书CA文件复制粘贴到文本编辑器里面,保存成后缀为.crt的文件即可使用了

SSL证书在线够买流程

其它在线工具

nginx 同一个IP上为多个域名配置安装SSL证书

最近公司域名更变,同时,又要新旧域名同时运行。 那么,对于https的域名在同一个IP上如何同时存在多个虚拟主机呢?遂,查看了下nginx手册,有这么一段内容,如下:

如果在同一个IP上配置多个HTTPS主机,会出现一个很普遍的问题:

server { listen 443; server_name www.abc.com; ssl on; ssl_certificate www.abc.com.crt; ... } server { listen 443; server_name www.123.com; ssl on; ssl_certificate www.123.com.crt; ... }

使用上面的配置,不论浏览器请求哪个主机,都只会收到默认主机www.abc.com的证书。这是由SSL协议本身的行为引起的——先建立SSL连接,再发送HTTP请求,所以nginx建立SSL连接时不知道所请求主机的名字,因此,它只会返回默认主机的证书。

最古老的也是最稳定的解决方法就是每个HTTPS主机使用不同的IP地址:

server { listen 192.168.1.1:443; server_name www.abc.com; ssl on; ssl_certificate www.abc.com.crt; ... } server { listen 192.168.1.2:443; server_name www.123.com; ssl on; ssl_certificate www.123.com.crt; ... }

那么,在同一个IP上,如何配置多个HTTPS主机呢?

nginx支持TLS协议的SNI扩展(Server Name Indication,简单地说这个扩展使得在同一个IP上可以以不同的证书serv不同的域名)。不过,SNI扩展还必须有客户端的支持,另外本地的OpenSSL必须支持它。

如果启用了SSL支持,nginx便会自动识别OpenSSL并启用SNI。是否启用SNI支持,是在编译时由当时的 ssl.h 决定的(SSL_CTRL_SET_TLSEXT_HOSTNAME),如果编译时使用的OpenSSL库支持SNI,则目标系统的OpenSSL库只要支持它就可以正常使用SNI了。

nginx在默认情况下是TLS SNI support disabled。

启用方法:

需要重新编译nginx并启用TLS。步骤如下:

# wget http://www.openssl.org/source/openssl-1.0.1e.tar.gz # tar zxvf openssl-1.0.1e.tar.gz # ./configure --prefix=/usr/local/nginx --with-http_ssl_module \ --with-openssl=./openssl-1.0.1e \ --with-openssl-opt="enable-tlsext" # make # make install

查看是否启用:

# /usr/local/nginx/sbin/nginx -V TLS SNI support enabled

这样就可以在 同一个IP上配置多个HTTPS主机了。

实例如下:

server { listen 443; server_name www.chinassl.net; index index.html index.htm index.php; root /data/wwwroot/www.chinassl.net/webroot; ssl on; ssl_certificate "/usr/local/nginx/conf/ssl/www.chinassl.net.public.cer"; ssl_certificate_key "/usr/local/nginx/conf/ssl/www.chinassl.net.private.key"; ...... } server { listen 443; server_name www.chinassl.net; index index.html index.htm index.php; root /data/wwwroot/www.chinassl.net/webroot; ssl on; ssl_certificate "/usr/local/nginx/conf/ssl/www.chinassl.net.public.cer"; ssl_certificate_key "/usr/local/nginx/conf/ssl/www.chinassl.net.private.key"; ...... }

这样访问每个虚拟主机都正常。

原文链接: http://www.ttlsa.com/html/4288.html

SNI实现一个IP安装多个SSL证书

一. 介绍
早期的SSLv2根据经典的公钥基础设施PKI(Public Key Infrastructure)设计,它默认认为:一台服务器(或者说一个IP)只会提供一个服务,所以在SSL握手时,服务器端可以确信客户端申请的是哪张证书。

但是让人万万没有想到的是,虚拟主机大力发展起来了,这就造成了一个IP会对应多个域名的情况。解决办法有一些,例如申请泛域名证书,对所有*.yourdomain.com的域名都可以认证,但如果你还有一个yourdomain.net的域名,那就不行了。

在HTTP协议中,请求的域名作为主机头(Host)放在HTTP Header中,所以服务器端知道应该把请求引向哪个域名,但是早期的SSL做不到这一点,因为在SSL握手的过程中,根本不会有Host的信息,所以服务器端通常返回的是配置中的第一个可用证书。因而一些较老的环境,可能会产生多域名分别配好了证书,但返回的始终是同一个。

既然问题的原因是在SSL握手时缺少主机头信息,那么补上就是了。

SNI(Server Name Indication)定义在RFC 4366,是一项用于改善SSL/TLS的技术,在SSLv3/TLSv1中被启用。它允许客户端在发起SSL握手请求时(具体说来,是客户端发出SSL 请求中的ClientHello阶段),就提交请求的Host信息,使得服务器能够切换到正确的域并返回相应的证书。

要使用SNI,需要客户端和服务器端同时满足条件,幸好对于现代浏览器来说,大部分都支持SSLv3/TLSv1,所以都可以享受SNI带来的便利。

二. nginx / apache 服务器端实现
nginx和apache服务端支持SNI参见:
《nginx 同一个IP上配置多个HTTPS主机》
《apache mod_gnutls实现多HTTPS虚拟主机》

三. 支持SNI的浏览器、服务器、库
Internet Explorer 7 or later, on Windows Vista or higher. Does not work on Windows XP, even Internet Explorer 8.
Mozilla Firefox 2.0 or later
Opera 8.0 or later (the TLS 1.1 protocol must be enabled)
Opera Mobile at least version 10.1 beta on Android[citation needed]
Google Chrome (Vista or higher. XP on Chrome 6 or newer. OS X 10.5.7 or higher on Chrome 5.0.342.1 or newer)
Safari 2.1 or later (Mac OS X 10.5.6 or higher and Windows Vista or higher)
Konqueror/KDE 4.7 or later
MobileSafari in Apple iOS 4.0 or later
Android default browser on Honeycomb or newer
Windows Phone 7[citation needed]
MicroB on Maemo

四. 支持SNI的服务器
Apache 2.2.12 or later using mod_ssl(or alternatively with experimental mod_gnutls)
Cherokee if compiled with TLS support
Versions of lighttpd 1.4.x and 1.5.x with patch, or 1.4.24+ without patch
Nginx with an accompanying OpenSSL built with SNI support
LiteSpeed 4.1 or later
Pound 2.6 or later
Apache Tomcat on Java 7 or later
Microsoft Internet Information Server IIS 8

五. 支持SNI的库
Mozilla NSS 3.11.1 client-side only
OpenSSL
0.9.8f (released 11 Oct 2007) – not compiled in by default, can be compiled in with config option ‘–enable-tlsext’
0.9.8j (released 07 Jan 2009) through 1.0.0 (released 29 March 2010) – compiled in by default
GNU TLS
libcurl / cURL since 7.18.1 (released 30 Mar 2008) when compiled against an SSL/TLS toolkit with SNI support
Python 3.2 (ssl, urllib and httplib modules)
Qt 4.8
Oracle Java 7 JSSE
参考文档:http://blog.hesey.net/2012/02/sni-for-multi-domain-ssl-tls.html

http://serverfault.com/questions/109800/multiple-ssl-domains-on-the-same-ip-address-and-same-port