域名开启智能 DNS 解析并使用 let's encrypt 的免费证书的时候 应该如何选择验证的服务器

2018-10-13 17:48:31 +08:00
 loginv2

现在是 境内两台和境外两台服务器,做了不同线路的智能解析 同一个域名根据访客来源的地域不同分别返回结果 A,B,C,D 四个 A 记录 A 为联通 B 为电信 C 在北美 D 在西欧

现在要用 let's encrypt 的 SSL 证书,需要在其中一台上面申请,然后 scp 到其他服务器 想知道应该以哪个为准? 目前解析用的阿里云的 DNS,没有 TXT 记录权限,只能通过 HTTP 的方式验证域名所有权限。

1890 次点击
所在节点    问与答
19 条回复
isCyan
2018-10-13 17:50:50 +08:00
北美,最好也设上西欧
以及,你也可以使用 TXT 验证
isCyan
2018-10-13 17:51:11 +08:00
为什么阿里云没有 TXT 记录权限
loginv2
2018-10-13 18:01:34 +08:00
@isCyan 因为域名是合作商的,给他们提这个需求要走一大堆流程,最后还被拒绝了
loginv2
2018-10-13 18:02:07 +08:00
@isCyan 北美和西欧同时验证不会冲突么?
isCyan
2018-10-13 18:02:33 +08:00
@loginv2 怎么会冲突,...
privil
2018-10-13 18:20:49 +08:00
@loginv2 #3 建议在合作商那边申请泛域名证书再分发吧,话说都是商用了,舍不得一年花几千买个证书么……
ZE3kr
2018-10-13 18:21:00 +08:00
TXT 验证可以使用 CNAME 代替,无需域名所用的 DNS 服务商提供 API 支持: https://github.com/Neilpang/acme.sh/wiki/DNS-alias-mode
isCyan
2018-10-13 18:45:37 +08:00
@privil 纯粹浪费钱,卖奢侈品的路易威登母公司都在用 Let's Encrypt
https://www.lvmh.com
flynaj
2018-10-13 18:51:42 +08:00
用哪个申请应该看 let's encrypt 解析到的 IP,用哪个都有可能。
loginv2
2018-10-13 18:52:32 +08:00
@privil 商用不代表就可以大手大脚啊,很多小公司还是很穷的,而且不是自己公司,沟通很难,把人家出钱方搞烦了,这买卖不做了?对面也没个明白人,连技术都没有

@ZE3kr 没有 TXT 验证的权限,对面不给。
isCyan
2018-10-13 18:54:00 +08:00
@loginv2 有 cname 就行,cname 把 txt 转发到另外一个支持 txt 的域名即可验证
privil
2018-10-13 18:56:03 +08:00
@loginv2 #10 商用用个收费证书,至少证明自己不会随时跑路,哈哈哈,既然都这样了,你还何必上什么 SSL,反正也是草台公司
isCyan
2018-10-13 18:56:15 +08:00
而且由于 cname 在_acme-challenge 子域名,不影响当前域名,无需更改服务器
但是需要一个额外域名
cy97cool
2018-10-14 01:18:36 +08:00
你可以把三台服务器的.well-known 路径反向代理到一台上面呀
msg7086
2018-10-14 05:23:24 +08:00
@privil 说何必上 SSL 的是脑子进水了吗?花冤枉钱和保护用户的安全是一回事?
privil
2018-10-14 09:16:07 +08:00
@msg7086 #15 当一个公司连 IT 相关的工作人员都没有的时候,我并不认为他们上了 SSL 就能保护用户的安全
loginv2
2018-10-14 11:05:34 +08:00
@msg7086 MR 这话戾气有点重啊,遇到什么不开心的事了么?

@privil 他们没有 IT,所以才会找到我们来做这个,保证安全是我的职责之一,至于要不要花钱买证书,从加密强度上看是没有区别的,我有告知对方细节的义务,对方选择不花这个钱,那也不应该由我们来出钱购买,谁的钱都是钱,想着节省成本是做买卖的一部分,商用不代表可以大手大脚,不能因为现在企业穷就不做买卖了。当然我也可以不做 SSL,但是最后出了安全问题,锅还是要我们来背,假如你是企业负责人,你会怎么看待这个事情呢。


对方不给 TXT 解析权限原因很简单,因为可以无限创建子域名随意解析,这可能会被利用在制作诈骗钓鱼网站上面,可以理解。
msg7086
2018-10-14 11:24:15 +08:00
@privil 我就问一句,上了 SSL 和裸数据 HTTP 对比,用户在网络上的通讯安全是否有提升,是否能抵抗运营商劫持数据插入广告盗取密码等行为。
privil
2018-10-14 11:58:16 +08:00
@loginv2 #17 看项目类型,任何涉及到财产支付类型的项目我建议至少要上 ssl 企业级别的证书,这是一种背书,证书发放商会对你的企业做基本的认证,再说了,我也只是说申请收费是一种比较好的选择,没收费的方案我第一个回复就告诉你了,在客户的服务器申请证书,分发到你们项目就好了,dns 的 api 脚本放在客户的服务器,你接触不到,给权限的问题,说到底还是信任的问题。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/497343

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX