FreeSSL 已经可以签发 DigiCert 根的 TrustAsia 免费证书了，担心 Symantec 不被信任的可以重新签发

感谢，刚签发了一个。

api response err: 网络异常！请稍后重试

安全连接失败

连接 www.penbeat.cn 时发生错误。OCSP 回应无效的 OCSP 签署证书 （错误码：sec_error_ocsp_invalid_signing_cert ）

无法显示您尝试查看的页面，因为无法验证所收到数据的真实性。
请联系网站的所有者以告知此问题。或者使用帮助菜单中的相关命令来报告此问题站点。

为什么这个网站也在用 Let's Encrypt 呢

@hotsnow 根证书是 DigiCert 2013 年的新证书，而且那个中级证书也是 3 天前才签发的，兼容性可能的确不行。但是 OCSP 应该没问题啊。我有做 OCSP Stapling 而且测过都是信任的。这是火狐浏览器吗？还是别的浏览器？什么版本？什么系统？

@xsn 你看他也提供 Let's Encrypt 证书啊，而且这又不是 TrustAsia 官方搞的

我的域名在这里签 TrustAsia 总是无法完成订购，Let's Encrypt 却没问题。BTW，TrustAsia 有可以开放使用的 API 么？

话说验证的时候只能 80 端口进去？不能 443 端口进去？

@isCyan #5 很老的 FireFox 27 + WinXP :p

IE10,chrome52,firefox57 一切正常，我的站后面去腾讯去更新去！

api response err: 500:{"partnerOrderId":"TBDdkn2j","status":[{"name":"failed","errors":[{"reason":"Backend processing Error","key":"ERROR","field":""}]}]}
总是出这个

@holulu 看一下你的域名中是否有敏感词汇，Trustasia 的免费证书会对一些敏感词汇做限制类似于 test 这种

@mario85 你可以参考一下 https://common-buy.aliyun.com/?spm=5176.7968328.911106.btn1.54674302oIDplc&commodityCode=cas#/buy aliyun 中对 Symantec 免费的 DV 证书的说明：
[通知] 赛门铁克 DV 证书（包括免费证书）调整为交叉根证书用于提升证书兼容性，接口调整时间为 2017 年 11 月 27 日~2017 年 12 月 17 日，在此期间 symantec DV 证书可能无法签发，介时请选择其它类型，或者其它品牌证书。

@h466977183 不觉得有什么敏感词。最后还是放弃，直接 Let's Encrypt 多愉快，明年还能上通配。

trustasia 不支持 ecc 证书？

@Cipool 试一下签 ECC，是全链 ECC 的：TrustAsia TLS ECC CA G9 -> DigiCert Global Root G3。

@holulu 我这里签完以后 cpanel 提示证书私匙都无效

@Cipool cpanel 不支持 ecc ssl

@holulu 这种还不算全链。不过证书体积肯定比 LE 和 Comodo 小了，值得一试。

Comodo 老的客户端的证书链是一张域名证书加两张 ECC 中级，根证书叫 USERTrust 那个是 RSA。
但是在很新的客户端上，会有一个 Comodo ECC 在信任的根证书里，读取到第一个中级证书会匹配到 ECC 的根证书，才是全链。

所以为了兼容性，配置服务器时一般还是要传“一张域名证书加两张 ECC 中级”这种，一共 3 张证书，加起来总的体积还是不够小

@holulu 全链不全链（根证书是不是 ECC ）无所谓，这个已经达到最小化证书体积的目的了

@holulu 看错，签完一个的确是全链…… 你是对的

哈哈，大家盼望的结果来了，今天看到 TrustAsia 的 Root 也更新了，现在测试下来兼容性棒棒的，ECC 也是支持的
https://myssl.com/myssl.com

DigiCert Global Root CA
TrustAsia TLS RSA CA
*.myssl.com


DigiCert Global Root CA
TrustAsia TLS ECC CA
*.myssl.com