试试这个，域名验证可以不用配置 DNS API KEY ，签发一直成功。https://freessl.cn/acme-deploy

@alan0liang tls1.3 SNI 那部分是兼容 tls1.2 的

发现个有意思的，目前就腾讯和 Gmail 提供的 IMAP、POP3 这些服务 TLS 加密部署的比较安全，其他都不注意这个
https://myssl.com/mail_server_check.html

试试用工具检测下 myssl.com

@SourceMan 挺看好 DigiCert 的能力
http://www.cnbeta.com/articles/tech/637909.htm

Symantec 持有 DigiCert 30%股份，搞不好就是大股东了

@johnjiang85 为什么不考虑支持 DNSSEC 呢，是有什么障碍吗。 目前有几项关于 HTTPS 安全的 RFC 规范都需要 DNSSEC 做支撑。

CAA 这个解析记录也是，我看国内都不支持。

简单测试了一下：
````
Android_6_0 GlobalSign Organization Validation CA - SHA256 - G2
Android_7_0 GlobalSign Organization Validation CA - SHA256 - G2
IE_11_win7 Symantec Class 3 Secure Server CA - G4
OpenSSL Symantec Class 3 Secure Server CA - G4
curl Symantec Class 3 Secure Server CA - G4
```

不是 @chromee 猜的这种情况。

@uuair A+需要配置 HSTS，强制使用 HTTPS，那些套件的配置最多只能让你到 A

@Rezark 不至于吧，crt.sh 上面那么多域名数据，Google CT 上随便爬

Chrome 插件不错！

如果是这样的 SSL 配置，再强大的证书也无法保证安全
https://myssl.com/mail.scmc.com.cn

GlobalSign 官方给出补救办法
https://support.globalsign.com/customer/portal/articles/2599710-ocsp-revocation-errors---troubleshooting-guide

@eirk2004 不太可能全国多个节点都被劫持吧，利用 CDN 检测的服务测试过全国多个运营商、地区，响应内容都一样

@xingo googles.com 不是 Google 的，至于是不是 TCP 劫持就不清楚了，我测试多个地方都一样，怀疑源服务器上就是包含这段代码。这个只有 cnBeta 那边人才能确认。

@kn007 你这边通过 114.114.114.114 解析呢，这个用户量还蛮大的