cf cdn Cloudflare隐藏功能，无需付费购买高级证书管理器使用api强制更换默认gts证书颁发商为ssl_com

小樱

cf cdn Cloudflare隐藏功能，无需付费购买高级证书管理器使用api强制更换默认gts证书颁发商为ssl_com

为什么需要更换？
默认值是gts，容易被证书墙：https://bbs.itzmx.com/thread-113702-1-1.html

获取地址：https://dash.cloudflare.com/profile
点击Global API Key（X-Auth-Key）
然后发起
查看ssl证书包，右下角有个API区域 ID，下面的地址自己换一下，看到你自己的地址，邮箱换成你的cf登陆邮箱

1. curl -X PATCH "https://api.cloudflare.com/client/v4/zones/023e105f4ecef8ad9ca31a8372d0c353/ssl/universal/settings" \
   
2.     -H "X-Auth-Email: user@gmail.com" \
   
3.     -H "X-Auth-Key: c2547eb745079dac9320b638f5e225cf483cc5cfdda41" \
   
4.     -H "Content-Type: application/json" \
   
5.     -d '{
   
6.       "certificate_authority":"ssl_com"
   
7.     }'

复制代码

可选值: digicert, sectigo, lets_encrypt, google, and ssl_com
注：digicert已被cf弃用，api更换上去也会被强制改成google，sectigo提示当前套餐不允许切换，等于选择只有lets_encrypt或ssl_com

点击禁用ssl通道，刷新页面看到证书都删除了后，过10秒钟在启用

提示：ssl_com颁发的证书兼容性更好，使用交叉签名支持2004年以来较旧的设备（例如安卓4.4），两条证书链分别如图所示
https://www.ssllabs.com/ssltest/analyze.html?d=www.itzmx.com&s=104.19.22.22&latest



在 Root CA 2022 这条证书链上，（SSL.com TLS Transit ECC CA R2）不是由服务器主动发送的，而是客户端（如浏览器）在验证证书链时，发现缺少这条中间证书，随后客户端自动从网络上下载的
证书内包含的链接为：http://cert.ssl.com/SSL.com-TLS-T-ECC-R2.cer
SHA256: 5d1bc399274e649e1c72697de91a54ad725088c5221cb61e17ee9c290bc42a92

交叉签名但是可能引发一些问题，例如某些非浏览器访问，使用的爬虫软件openssl版本过新或者python版本太新时，然后由于爬虫代码自身bug导致未进行下载补全中间交叉签名链引起不受信任
在客户端未补齐（SSL.com TLS Transit ECC CA R2）的时候，则会访问到 AAA 这个证书链，然后python新版对 AAA 标记不受信任此时则无法访问，可以对python开发者汇报bug更新修复

需要用户使用爬虫访问网站，对此有解决办法如下
cloudflare使用的ssl_com证书需要交叉签名download CA R2，在部分软件中未更新openssl时可能导致信任链问题，在chrome浏览器中是正常访问的
1.软件更新或更换openssl版本，以便发起https网络请求时兼容交叉签名
2.网站在cloudflare上使用Advanced Certificate Manager更换证书颁发商（ https://developers.cloudflare.com/ssl/edge-certificates/advanced-certificate-manager/ ），也可以参考本贴使用api免费更换 https://bbs.itzmx.com/thread-113780-1-1.html
3.网站使用其它cdn代替cloudflare

寻宝人2339

又学一手