cf cdn Cloudflare隐藏功能,无需付费购买高级证书管理器使用api强制更换默认gts证书颁发商为ssl_com
cf cdn Cloudflare隐藏功能,无需付费购买高级证书管理器使用api强制更换默认gts证书颁发商为ssl_com为什么需要更换?
默认值是gts,容易被证书墙:https://bbs.itzmx.com/thread-113702-1-1.html
获取地址:https://dash.cloudflare.com/profile
点击Global API Key(X-Auth-Key)
然后发起
查看ssl证书包,右下角有个API区域 ID,下面的地址自己换一下,看到你自己的地址,邮箱换成你的cf登陆邮箱
curl -X PATCH "https://api.cloudflare.com/client/v4/zones/023e105f4ecef8ad9ca31a8372d0c353/ssl/universal/settings" \
-H "X-Auth-Email: user@gmail.com" \
-H "X-Auth-Key: c2547eb745079dac9320b638f5e225cf483cc5cfdda41" \
-H "Content-Type: application/json" \
-d '{
"certificate_authority":"ssl_com"
}'
可选值: digicert, sectigo, lets_encrypt, google, and ssl_com
注:digicert已被cf弃用,api更换上去也会被强制改成google,sectigo提示当前套餐不允许切换,等于选择只有lets_encrypt或ssl_com
点击禁用ssl通道,刷新页面看到证书都删除了后,过10秒钟在启用
提示:ssl_com颁发的证书兼容性更好,使用交叉签名支持2004年以来较旧的设备(例如安卓4.4),两条证书链分别如图所示
https://www.ssllabs.com/ssltest/analyze.html?d=www.itzmx.com&s=104.19.22.22&latest
在 Root CA 2022 这条证书链上,(SSL.com TLS Transit ECC CA R2)不是由服务器主动发送的,而是客户端(如浏览器)在验证证书链时,发现缺少这条中间证书,随后客户端自动从网络上下载的
证书内包含的链接为:http://cert.ssl.com/SSL.com-TLS-T-ECC-R2.cer
SHA256: 5d1bc399274e649e1c72697de91a54ad725088c5221cb61e17ee9c290bc42a92
交叉签名但是可能引发一些问题,例如某些非浏览器访问,使用的爬虫软件openssl版本过新或者python版本太新时,然后由于爬虫代码自身bug导致未进行下载补全中间交叉签名链引起不受信任
在客户端未补齐(SSL.com TLS Transit ECC CA R2)的时候,则会访问到 AAA 这个证书链,然后python新版对 AAA 标记不受信任此时则无法访问,可以对python开发者汇报bug更新修复
需要用户使用爬虫访问网站,对此有解决办法如下
cloudflare使用的ssl_com证书需要交叉签名download CA R2,在部分软件中未更新openssl时可能导致信任链问题,在chrome浏览器中是正常访问的
1.软件更新或更换openssl版本,以便发起https网络请求时兼容交叉签名
2.网站在cloudflare上使用Advanced Certificate Manager更换证书颁发商( https://developers.cloudflare.com/ssl/edge-certificates/advanced-certificate-manager/ ),也可以参考本贴使用api免费更换 https://bbs.itzmx.com/thread-113780-1-1.html
3.网站使用其它cdn代替cloudflare
又学一手
页:
[1]