来说说 letsencrypt 存在问题,以及生产环境使用的风险

2023-08-11 22:59:37 +08:00
 bli22ard

自动的 https 证书管理( acme )一般都是 letsencrypt ,并且有效期三个月,没看到有哪个商业收费证书支持 acme 自动申请。目前想要自动维护证书,基本是 letsencrypt 或者 zerossl 。

letsencrypt 能查到的问题 https://vps.yangmao.info/163640.html 另外 OCSP 是 r3.o.lencr.org , 通过在线 ping 检查,ip 基本分布在境外,最近的是香港、日本等地

3707 次点击
所在节点    问与答
34 条回复
ibiubiu
2023-08-11 23:03:03 +08:00
go 自己实现一个
bli22ard
2023-08-11 23:06:08 +08:00
@ibiubiu 一年的证书基本都收费的,要不就有同一个域名下的数量限制。另外证书颁发机构没看到有提供 acme 接口的
estk
2023-08-11 23:20:04 +08:00
之前有个经验是 let‘s 开发的支付宝回调 webhook 无法正常接收通知,同一个域名换 DV 证书就可以
不知道我是不是一个人
bli22ard
2023-08-11 23:22:27 +08:00
@estk 免费没好货吗 😂
estk
2023-08-11 23:27:42 +08:00
@bli22ard #4
可能支付宝觉得 let's 安全等级不够,不认它
可能我是一个人,没听别人说过这事
fox0001
2023-08-11 23:33:36 +08:00
Cloudflare 提供的免费证书,也是只有 3 个月。颁发组织是 Google Trust Service LLC 。
Alwaysonline
2023-08-11 23:52:41 +08:00
有过几次没续签上,乖乖地用了腾讯云免费 SSL ,1 年去折腾 1 次还有点省事。
naminokoe
2023-08-12 02:32:24 +08:00
直接 cloudflare 不就行了
louisxxx
2023-08-12 03:44:00 +08:00
@estk 好像是支付宝的 jdk 版本太旧了,没有内置 let's 根证书。
Love4Taylor
2023-08-12 07:03:22 +08:00
GTS 完事
Jirajine
2023-08-12 07:51:49 +08:00
没什么风险,付费证书不比 le 的证书更可信。像那些自主可控的 CA 根证书早都全部拉黑了。
kaneg
2023-08-12 08:14:10 +08:00
最大的问题就是时间有点短,但毕竟免费的,也不能太挑剔。
billzhuang
2023-08-12 09:04:02 +08:00
le 之前有过一次风险,它的 OCSP 服务器托管在 akamai cdn 上,那个 akamai 节点被强了
bli22ard
2023-08-12 09:06:27 +08:00
@fox0001 cf 证书是直接申请的, 还是 http 服务托管的那种证书
bli22ard
2023-08-12 09:06:46 +08:00
@Love4Taylor gts 是什么
bli22ard
2023-08-12 09:07:41 +08:00
@Alwaysonline 这个 acme 的 endpoint 是国外的地址,有时候是访问不稳定
msg7086
2023-08-12 09:27:30 +08:00
传统来说,商业收费证书的收费主要是来自维护 CA 证书和周边服务器的成本,以及签发所需的验证成本。
最普通的 DV 证书,一般是验证域名邮箱地址。如果是更高级的 OV EV 证书,还要验证公司资质。
DV 证书现在改用 acme 协议以后,不再需要复杂的邮箱验证服务,而是简单的 HTTP/DNS 查询即可,运营成本降低了。签发自动化,所以不再需要一年一签了,90 天甚至 30 天证书都可以做到,大大增加了安全性。(毕竟有效期越长越有泄露危险。)
至于 OV EV ,本来就要复杂的资质验证,做不到自动化签发。

如果觉得 LE 的不好用,除了用 ZeroSSL 以外,也可以用 Google 证书。我手头大部分网站都改用 Google 证书了。

SSL 证书算是典型的靠山吃山行为,一个企业花大钱把自己的根证书搞进信任链,然后就可以坐着挣用户的钱了。要不是有 LE 打破这种垄断,可能大家还在 9.9 刀一个域名,99 刀一个 SAN/野卡呢。
loopinfor
2023-08-12 09:29:54 +08:00
好像网上某些精简版的 win10 不认 letsencrypt 证书,如果不是正规途径装的电脑会打不开网站。
bli22ard
2023-08-12 09:42:59 +08:00
@msg7086 经过网上一番搜索,发现 https://kn007.net/topics/using-acme-sh-and-acme-dns-get-googles-free-wildcard-ssl-certificate/ 。google 这个证书会存在 acme endpoint 和 ocsp 被墙的问题
bli22ard
2023-08-12 09:43:38 +08:00
@loopinfor 这精简过分了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/964589

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX