域名开启智能 DNS 解析并使用 let's encrypt 的免费证书的时候 应该如何选择验证的服务器

北美，最好也设上西欧
以及，你也可以使用 TXT 验证

为什么阿里云没有 TXT 记录权限

@isCyan 因为域名是合作商的，给他们提这个需求要走一大堆流程，最后还被拒绝了

@isCyan 北美和西欧同时验证不会冲突么？

@loginv2 怎么会冲突，...

@loginv2 #3 建议在合作商那边申请泛域名证书再分发吧，话说都是商用了，舍不得一年花几千买个证书么……

TXT 验证可以使用 CNAME 代替，无需域名所用的 DNS 服务商提供 API 支持： https://github.com/Neilpang/acme.sh/wiki/DNS-alias-mode

@privil 纯粹浪费钱，卖奢侈品的路易威登母公司都在用 Let's Encrypt
https://www.lvmh.com

用哪个申请应该看 let's encrypt 解析到的 IP，用哪个都有可能。

@privil 商用不代表就可以大手大脚啊，很多小公司还是很穷的，而且不是自己公司，沟通很难，把人家出钱方搞烦了，这买卖不做了？对面也没个明白人，连技术都没有

@ZE3kr 没有 TXT 验证的权限，对面不给。

@loginv2 有 cname 就行，cname 把 txt 转发到另外一个支持 txt 的域名即可验证

@loginv2 #10 商用用个收费证书，至少证明自己不会随时跑路，哈哈哈，既然都这样了，你还何必上什么 SSL，反正也是草台公司

而且由于 cname 在_acme-challenge 子域名，不影响当前域名，无需更改服务器
但是需要一个额外域名

你可以把三台服务器的.well-known 路径反向代理到一台上面呀

@privil 说何必上 SSL 的是脑子进水了吗？花冤枉钱和保护用户的安全是一回事？

@msg7086 #15 当一个公司连 IT 相关的工作人员都没有的时候，我并不认为他们上了 SSL 就能保护用户的安全

@msg7086 MR 这话戾气有点重啊，遇到什么不开心的事了么？

@privil 他们没有 IT，所以才会找到我们来做这个，保证安全是我的职责之一，至于要不要花钱买证书，从加密强度上看是没有区别的，我有告知对方细节的义务，对方选择不花这个钱，那也不应该由我们来出钱购买，谁的钱都是钱，想着节省成本是做买卖的一部分，商用不代表可以大手大脚，不能因为现在企业穷就不做买卖了。当然我也可以不做 SSL，但是最后出了安全问题，锅还是要我们来背，假如你是企业负责人，你会怎么看待这个事情呢。


对方不给 TXT 解析权限原因很简单，因为可以无限创建子域名随意解析，这可能会被利用在制作诈骗钓鱼网站上面，可以理解。

@privil 我就问一句，上了 SSL 和裸数据 HTTP 对比，用户在网络上的通讯安全是否有提升，是否能抵抗运营商劫持数据插入广告盗取密码等行为。

@loginv2 #17 看项目类型，任何涉及到财产支付类型的项目我建议至少要上 ssl 企业级别的证书，这是一种背书，证书发放商会对你的企业做基本的认证，再说了，我也只是说申请收费是一种比较好的选择，没收费的方案我第一个回复就告诉你了，在客户的服务器申请证书，分发到你们项目就好了，dns 的 api 脚本放在客户的服务器，你接触不到，给权限的问题，说到底还是信任的问题。