各大免费申请的证书有效期从 1 年变为 3 个月了

欢迎使用我这个网页版的 ACME：向 Let's Encrypt 、ZeroSSL 、Google 等支持 ACME 协议的证书颁发机构，免费申请获得用于 HTTPS 的 SSL/TLS 域名证书（ RSA 、ECC/ECDSA ），支持多域名和通配符泛域名；只需在现代浏览器上操作即可获得 PEM 格式纯文本的域名证书，不依赖操作系统环境，无需下载和安装软件，纯手动操作，只专注于申请获得证书这一件事

https://xiangyuecn.github.io/ACME-HTML-Web-Browser-Client/ACME-HTML-Web-Browser-Client.html

这个事情大概已经开始快一年了

@Rennen 我们不是宝塔, 是独立的服务器, 部署的 lnmp.

@seki
这种人是这样的

是否以后付费证书也是三个月有效期了?

certbot+1

自用的工具站都是 caddy 自动更新

@skyrim61 把域名 DNS 托管在 cloudflare ，它也是有 3 个月免费证书，到期自动续。

@iceecream 减小了。吊销列表是因故不能用的证书，正常过期的证书只要看时间就知道无效了。

比如一个签了 10 年的证书泄漏不能用了，放列表里，10 年后才能从列表删掉，现在只要 3 个月后就能删掉了
---
不是专业人士，以上为逻辑上推断，如有错误，欢迎指正

@crz 网站加密证书，这种证书泄漏影响极小，又不是 APP 或者 EXE 签名证书。

照我说，就应该一年一签，特事特办。

这个真挺麻烦的，有的国内云设施自己签的证书还得手动更新。。。

@inhzus 这文章还说自动化普及后，还要考虑更短时间，我真的会谢

过期和吊销没关系。
缩短有效期主要是安全考虑。

对有部分需要手动上传证书的共享主机或网页空间不太友好，从一年的传一次变成一年传四次。

也不知道为什么是 3 个月，要是变成强制一个月过期是不是更安全了，哈哈。

我提议搞个自己的根证书

certbot+nginx ，自动更新+重启，基本就没手动管过证书。

@NevadaLi #2 https://letsencrypt.org/2015/11/09/why-90-days

我自动更新的，腾讯云的 cdn 也有脚本可以定时更新证书

@wonderfulcxm 之前就看到有人用 7 天短期证书规避 ocsp 服务器被墙的问题，这种短期证书浏览器不查 ocsp

cdn 怎么更新证书