@luikore RubyChina 用的是 StartSSL 的免费证书，是不是所有 StartSSL 签发的免费证书以后都不能用了？

我现在都是用 Let's Encrypt https://certbot.eff.org/

支持 Let's Encrypt

最近发现饭强后登录不了 Ruby China，是不是也是这个原因？

我刚刚测试了一下 let's Encrypt，自动获取证书失败，可能是因为 80 端口被强制转换到 443 并且 DNS 服务放在 DNSPOD 上无法通过域名验证，稍微晚点我在折腾一下。

这里也提到了建议 RubyChina 换用 let's Encrypt 的证书 https://ruby-china.org/topics/30994

#5 楼 @lgn21st 先停止 80 到 443 的跳转，使用 Let's Encrypt 成功获取证书后再恢复跳转。后续续期时不会有问题。

跟域名服务商无关。

我遇到过DNS problem: query timed out，当时使用的是沃通的证书，阿里云的云解析，使用上述方案解决。不知道你遇到的是不是同样的错误。

#1 楼 @lgn21st 已经不能信任它了... 它都可以弄个假 github 出来，浏览器地址栏都绿的，开源的都能给你插木马

#6 楼 @bianjp 是这个错误，所以打算半夜的时候试试看，改一下 nginx 的配置，先谢谢，遇到新问题在找你问问。

#8 楼 @lgn21st 可以用 dns 的方式验证，推荐这个脚本 通过 DNS 验证方式获取 lets-encrypt 证书的快速脚本

嗯，Wosign 2015 年就悄悄收购了 Startcom，后来自称签发假 Github 证书是技术问题，无论是有阴谋的（技术问题是敷衍），还是真正的技术问题，能签发假的大网站证书的，都是非常可怕的。太容易让安装了它的证书的设备被中间人攻击了。

很多 CA 的背景不透明，Wosign 作为中国的 CA，背后的 Big brother 是谁，没有人知道。

我觉得国内 CA 不值得信任的一个重要原因是在天朝没有任何机构敢于对抗 ZF（ZF 要你签个假证书，你敢不签？）。

可悲的是，WoSign 和 StartCom 已经在受信颁发机构列表中，你不用他们的证书没用，把他们从受信机构中删除才行，然而目前使用 StartCom 的网站似乎比较多，删除后可能会影响日常上网。

#12 楼 @bianjp

我觉得国内 CA 不值得信任的一个重要原因是在天朝没有任何机构敢于对抗 ZF（ZF 要你签个假证书，你敢不签？）。

一语道破！

从信任机构列表删掉 WoSign 和 StartCom 的影响倒是不大。

用 StartCom 的主要是个人小站，它们正在大批转移到 Let's Encrypt。 WoSign 倒是有国内比较 low 的小商业网站用，不过技术圈的人碰不上那些网站。

之前配了下记录了步聚 获取 Let’s Encrypt 免费的 https 证书

80 端口被强制转换到 443

和这个没有关系

估计是没有设置

location ^~ /.well-known/acme-challenge/ {
  default_type "text/plain";
}

#8 楼 @lgn21st 还没搞定？

#16 楼 @bianjp 实在是没空....

2016-09-06: Mozilla 考虑对 WoSign 采取行动，StartCom 可能受牵连，镜像站可否改用其它 HTTPS 证书？ 2016-09-10: https 证书换为 AlphaSSL 和 Let’s Encrypt

中科大镜像源已经行动了，RubyChina 加油啊。。

WoSign 也快不行了，刚买了三年 😟

我们已经换上了 TrustAsia

现在Certbot让使用 Let's Encrypt 更方便了。@lgn21st 可以抽空试一下。不一定要碰在网的服务，用standalone或者manual选项都可以。

#20 楼 @merlinran 谢谢提醒，这事情被忘到九霄云外去了.....

PKI 本身存在设计缺陷，这会导致任何 CA 都可以签发任何域名的证书。 已经签发的一般不受影响。除非浏览器对其屏蔽。

已经替换为 Let's Encrypt 的证书了。
使用的是这个方案 https://github.com/xdtianyu/scripts/blob/master/lets-encrypt/README-CN.md