来说说 letsencrypt 存在问题,以及生产环境使用的风险

2023-08-11 22:59:37 +08:00
 bli22ard

自动的 https 证书管理( acme )一般都是 letsencrypt ,并且有效期三个月,没看到有哪个商业收费证书支持 acme 自动申请。目前想要自动维护证书,基本是 letsencrypt 或者 zerossl 。

letsencrypt 能查到的问题 https://vps.yangmao.info/163640.html 另外 OCSP 是 r3.o.lencr.org , 通过在线 ping 检查,ip 基本分布在境外,最近的是香港、日本等地

3707 次点击
所在节点    问与答
34 条回复
makelove
2023-08-12 09:47:41 +08:00
OCSP 可以解决,如果 vps 在墙外,直接在 nginx 里几行代码设置就行,如果在墙内设置个 ocsp 代理(有开源项目)
这样就不怕验证地址被墙了
crysislinux
2023-08-12 09:47:53 +08:00
大的云服务选择都有自动 renew 的免费证书了吧,我们在用 aws 的
msg7086
2023-08-12 09:58:58 +08:00
@bli22ard 我觉得墙内本来就没有什么好选择,要在墙内用的话最好还是老老实实用国内大厂的了。
Love4Taylor
2023-08-12 10:00:06 +08:00
@bli22ard Google Trust Service
just1
2023-08-12 10:58:49 +08:00
ocsp 装订啊
bli22ard
2023-08-12 11:00:31 +08:00
@makelove
@just1 这样都得通过代理吧,那问题又到了一个需要一个稳定的代理。😂
bli22ard
2023-08-12 11:01:52 +08:00
@msg7086 大厂自动签发麻烦,还有收费, 所以想聊聊这个事情,看看有没有 https 证书最佳实战
just1
2023-08-12 11:12:43 +08:00
@bli22ard #26 可以不需要
bli22ard
2023-08-12 11:15:54 +08:00
@just1 这些免费的 oscp 地址可能会被墙吧
fox0001
2023-08-12 11:55:04 +08:00
@bli22ard #14 最简单的一键设置
ZeroClover
2023-08-12 12:25:50 +08:00
OCSP 是最微不足道的问题

有效期短于 10 天的证书,按 CA/B Baseline 不执行 OCSP 检查

所以

caomingjun
2023-08-12 13:44:35 +08:00
@bli22ard 我测过 GTS 的 OCSP ,在境内是有节点的。acme endpoint 倒是确实被墙了。
bli22ard
2023-08-12 14:24:01 +08:00
@ZeroClover acme 申请到的 letsencrypt 是三个月的。
bli22ard
2023-08-12 14:24:51 +08:00
@bli22ard 那生产需要一个稳定的代理, 才能确保 acme endpoint 访问通畅, 这个貌似又不好办到

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/964589

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX