Let’s Encrypt 使用吐槽

2015-12-04 16:34:14 +08:00
 Daniel65536
[Let ’ s Encrypt]( http://letsencrypt.org) 公测了,实验了下吐槽如下:

1. 这个项目由两个部分组成,一个是他们管理的 acme-server ,负责认证与签发证书,另一个是他们提供的 acme-client ,用来申请证书,也就是那个他们要你实际在服务器上安装运行的程序。

2. 他们提供的 client 很蠢,我只想要一个证书申请工具,却给我来了个全家桶,一堆依赖,占用 80 端口帮你搞认证,还提供个什么鬼自动修改你的 apache/nginx 配置帮你安装证书。支持的认证方式多,然而并没有什么卯月,最实用的还是 http-01 认证,也就是丢个文件到你的网站底下。

3. https://github.com/diafygi/acme-tiny 这才是你真正需要的 acme-client ,只干申请证书这一件事的脚本, 200 行,无 python 和 openssl 以外的依赖。这个脚本就干了 3 件事:向 acme-server 请求进行认证,把认证文件丢在网站根目录下来证明你拥有这个网站,下载通过认证后签好的证书。

4. 在使用了这个实用的脚本后,申请 ssl 证书被简化成了 1 分钟就能完成的事情,确实方便。
24194 次点击
所在节点    SSL
57 条回复
greenskinmonster
2015-12-04 17:54:41 +08:00
acme-tiny 必须要 80 端口,被运营商屏蔽的话,就只能用官方的 client 了
Daniel65536
2015-12-04 18:08:05 +08:00
@phoenixlzx 看了一眼你的 ecc 证书长度有 3 层 2891 bytes ,我用的 rsa 证书 2 层 2342 ,如果能有两层的 ecc 证书就能把长度压到 1900 byte 了……
pupboss
2015-12-04 18:08:40 +08:00
@GPU 黑五的时候, namecheap , 0.88 刀一个证书
pupboss
2015-12-04 18:11:09 +08:00
@Daniel65536 你还在纠结一个数据包传完证书内容😂
phoenixlzx
2015-12-04 18:13:10 +08:00
=。= 你们真是 sxbk
Daniel65536
2015-12-04 18:20:35 +08:00
@pupboss TCP 一个包也就 1460 ,并不可能一个包,然而 2 个包就是 2920 算上其他握手之类的数据, 2891 的 3 层 ecc 很可能就要 3 个包了……

躺……=。=
yangyang
2015-12-04 18:27:47 +08:00
继续用 StartSSL 。
linker
2015-12-04 21:24:12 +08:00
下午刚从推特看到你讲的!😄
tokki
2015-12-04 21:26:53 +08:00
听不懂啊 到底用还是不用阿。。
lzhd24
2015-12-04 21:41:50 +08:00
BlackGear?
Daniel65536
2015-12-04 21:46:47 +08:00
@lzhd24 嗯,常用 id 之一。

@tokki 用吧,看今天签出去的证书比之前内测番了一番,看来很受欢迎的样子,签的过程体验还不错。

@linker 在推上吐槽感觉不过瘾,所以跑这里再吐槽下……
shotego
2015-12-04 23:21:23 +08:00
看来被那个 Python 依赖弄的烦的不只我一个
Daniel65536
2015-12-05 00:17:22 +08:00
@shotego 洁癖加强迫症伤不起啊……
Quaintjade
2015-12-05 00:35:17 +08:00
@pupboss
浏览器支持 ECC 还算好的。记得 AnyConnect 不信任, OpenConnect 不支持,不知道现在版本如何。
Daniel65536
2015-12-05 00:47:03 +08:00
@Quaintjade OpenConnect 已经支持了, AnyConnect 还是老样子……
mzer0
2015-12-05 03:06:15 +08:00
@Daniel65536 问一下, AnyConnect 能自己部署吗? 要付费订阅吗? 另外, OpenConnect 和 OpenVPN 比, 怎样?

ECC 只是安全性比较好, 速度和 RSA 一样慢.
Daniel65536
2015-12-05 04:08:50 +08:00
@mzer0 see: https://darknode.in/network/setup-debian-ocserv/ 最大的优势是 anyconnect 更加商业,所以哪怕有办法封锁也会更慎重。当然有状态的 VPN 永远在性能与稳定性方面比不上无状态的某工具…

同等安全性 ECC 更短,这也是优势啊。速度反过来说也是好 RSA 一样快…
tcdw
2015-12-05 09:07:08 +08:00
折腾了几个小时来给他家的烂客户端部署环境、解决错误,结果居然有这么简单的途径。
AstroProfundis
2015-12-05 09:09:29 +08:00
为啥我感觉如果性能敏感到要纠结几个包传完证书了,还不如直接上 RSA 硬件卡...

我就是路过冒个泡,请无视_(:зゝ∠)_
HowardMei
2015-12-05 09:37:48 +08:00
@Daniel65536 Let's Encrypt 几层证书链?比 Comodo 好吗?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/241179

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX