Let’s Encrypt 使用吐槽

2015-12-04 16:34:14 +08:00
 Daniel65536
[Let ’ s Encrypt]( http://letsencrypt.org) 公测了,实验了下吐槽如下:

1. 这个项目由两个部分组成,一个是他们管理的 acme-server ,负责认证与签发证书,另一个是他们提供的 acme-client ,用来申请证书,也就是那个他们要你实际在服务器上安装运行的程序。

2. 他们提供的 client 很蠢,我只想要一个证书申请工具,却给我来了个全家桶,一堆依赖,占用 80 端口帮你搞认证,还提供个什么鬼自动修改你的 apache/nginx 配置帮你安装证书。支持的认证方式多,然而并没有什么卯月,最实用的还是 http-01 认证,也就是丢个文件到你的网站底下。

3. https://github.com/diafygi/acme-tiny 这才是你真正需要的 acme-client ,只干申请证书这一件事的脚本, 200 行,无 python 和 openssl 以外的依赖。这个脚本就干了 3 件事:向 acme-server 请求进行认证,把认证文件丢在网站根目录下来证明你拥有这个网站,下载通过认证后签好的证书。

4. 在使用了这个实用的脚本后,申请 ssl 证书被简化成了 1 分钟就能完成的事情,确实方便。
24194 次点击
所在节点    SSL
57 条回复
aku
2015-12-04 16:35:23 +08:00
感谢
pupboss
2015-12-04 17:04:14 +08:00
4096 位 RSA 慎用...CPU....别问我怎么知道的
Daniel65536
2015-12-04 17:07:23 +08:00
@pupboss 明年初出 ecc 证书,到时候就方便了……
phoenixlzx
2015-12-04 17:09:27 +08:00
现在没必要 RSA4096 吧...
(而且 Comodo 的 ECC 证书超便宜啊
pupboss
2015-12-04 17:13:29 +08:00
@Daniel65536 哈哈,话说, ECC 我折腾了快一周了,感觉资源消耗方面,跟安全一样, 384 位的 ECC 和 2048~4096 的 RSA 消耗的 CPU 差不多。而且安卓 2.3.x , Windows XP ,死活不支持

谷歌一搜关于 ECC 的中文文章,全特么被沃通承包了,沃通一直在说 ECC 如何好,对移动设备友好,关于移动设备的说法,英文文章并没找到。。。
pupboss
2015-12-04 17:14:58 +08:00
@phoenixlzx 黑五悄悄的屯了几个,白菜价的东西,居然没有黄牛
GPU
2015-12-04 17:15:48 +08:00
@phoenixlzx
@pupboss
楼上与楼上上你们说什么。
pupboss
2015-12-04 17:19:34 +08:00
@GPU SSL 啊😂
GPU
2015-12-04 17:22:23 +08:00
@pupboss

你们说的是 RSA 4096 太慢并且握手时间长 ,
然后 ECC 快很多,但支持 ECC 签发的很小,
之后再说 comodo 的 ecc 白菜价 。还没有黄牛 。

是这样不。
Daniel65536
2015-12-04 17:22:23 +08:00
如果希望用 rsa2048 的话, acme-tiny 项目上提到的 openssl genrsa 4096 > domain.key 这一步改成 openssl genrsa 2048 > domain.key 就好……


@pupboss 给自己 blog 用,我是直接从 css 、 js 上设定兼容标准的,既然某些客户端访问也达不到我希望的效果,那就干脆 ssl 都不让连好了,任性……

@phoenixlzx Comodo 的 ECC 好像和 Positive SSL 是同一个项目吧?价格也是一样的吧…
phoenixlzx
2015-12-04 17:22:55 +08:00
@pupboss 毕竟没怎么张扬...
phoenixlzx
2015-12-04 17:23:30 +08:00
@Daniel65536 是,提交 ecc 的 csr 就可以了
https://blog.phoenixlzx.com 看证书
Daniel65536
2015-12-04 17:24:38 +08:00
@GPU 聊的其实是 SSL 的 CPU 消耗啊……相同加密水平的加密方法其实消耗的 CPU 也是差不多的,哪怕长度差很多。

我倒是不很在意 CPU 消耗, ecc 吸引我的主要是证书短……
Daniel65536
2015-12-04 17:28:16 +08:00
@phoenixlzx 然而 Comodo 家要配个 4 层证书链,实际上证书文件大小和 2048 串下来的 3 层 rsa 差不多…这样 ecc 证书短的优势就体现不出来了。
所以我一直比较期待 rapidssl 之流出 ecc 证书或者 let's encrypt 的 ecc ……
wy315700
2015-12-04 17:29:51 +08:00
@pupboss
@phoenixlzx

测试结果, ECC 在安卓上超级慢,比 RSA 慢了一个等级,肉眼可见的慢
GPU
2015-12-04 17:30:10 +08:00
@Daniel65536 在 comodo 里面 是不是有说明

```Highest strength 2048 bit signatures / 256 bit encryption ```

这段就是直接 ecc ? 还是怎样的.我看 Free SSL 也有这段啊.
phoenixlzx
2015-12-04 17:33:28 +08:00
@Daniel65536 ShinoSaki SDV 签 ECC 给的是个 bundle
PositiveSSL 给的是多张证书

bundle 里就两层,不知道为啥
不过串联起来的效果似乎一样

另外慢大概是网速问题...
Daniel65536
2015-12-04 17:33:29 +08:00
@GPU 好像就是 ecc , comoda 的 ecc 就支持 256bit 的, 384bit 会被拒签
GPU
2015-12-04 17:36:48 +08:00
你们买的 哪里便宜了?

我直接官网看 77 刀一年呢。
phoenixlzx
2015-12-04 17:40:50 +08:00

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/241179

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX