洋葱TLS / SSL证书更新
EV证书可验证网站:它们在网络用户需要知道与谁进行通信的任何情况下都很有用,但是对于onion
网站使用名称作为公钥的base32表示形式(例如swursuzpievjanml.onion
-结果,EV证书是唯一用于洋葱的证书。甚至虚荣的前缀仍然可以由任何人谁希望该前缀,使用一组不同的尾部字符的产生。因此,将网站与公司,慈善机构,个人独资经营者或其他法律实体联系起来的做法很有用。
我们最近对包含.onion
名称的证书的处理方式进行了一些更改,值得在此处进行讨论:
整个CertSimple中允许通配符用于洋葱证书
与常规EV证书不同,常规的EV证书必须由人来审核每个域,因此不允许使用通配符,而洋葱EV证书则允许使用通配符。以前,客户必须通过电子邮件向我们发送有关洋葱通配符的信息,然后我们将其手动添加到证书中,我们的订购和证书管理平台现已更新,可以在任何.onion
站点上接受通配符。
无需为当前洋葱指定完整的公钥
老一代的洋葱站点使用SHA1作为哈希方案。SHA1现在被普遍认为已损坏,因此缓解措施的一部分是在证书本身内部包含完整的pubkey副本,以防止它通过SHA1冲突而被用于另一个站点。使用较早版本站点的客户必须分别向我们发送完整的公钥电子邮件给我们,而不是申请证书。
像Ablative这样的新一代洋葱站点不使用SHA1,因此不需要额外的字段。虽然我们建议使用当前的洋葱名称,但如果需要,我们仍然支持以前的洋葱。
证书(包括洋葱站点)没有2年选项
当为新的EV证书检测到任何洋葱域时,UI会将证书的生存期限制为一年,因为.onion
证书的最大生存期为一年。
目前为止就这样了
我们还将很快推出更多洋葱更换方法。我们始终对社区的反馈或改进我们验证过程的新方法感兴趣,因此请告知我们您的想法。