最近在给自己的汪涵自签名,用的 Let's Encrypt,免费的,但是我发现用这个的一般都是个人站点这种,Let's Encrypt 有什么缺陷吗,为什么大公司不用?除了不在乎钱还能有什么原因?
1
Vhc001 2020-03-01 18:02:29 +08:00
只有 90 天
|
2
huangtao728 2020-03-01 18:04:30 +08:00
汪涵: 喵喵喵??
|
3
gwy15 2020-03-01 18:04:40 +08:00 1
只有 90 天其实不算什么问题,丢个 certbot 任务到 root 的 crontab 里面就可以了。大公司不用的原因可能是没有售后支持。
|
4
Tezos 2020-03-01 18:05:51 +08:00
缺陷:免费
|
5
Love4Taylor 2020-03-01 18:06:58 +08:00 via Android
没有商业支持,并且 DV 以上的付费证书的钱也是可信度的钱(应该。
|
6
amrom OP @huangtao728 是网站哈哈,会不会是 Let's Encrypt 支持的浏览器少的原因
|
7
rockyou12 2020-03-01 18:13:40 +08:00
个人用只有优点,大公司不用除了没人背锅,估计也没有迁移动力
|
8
gwy15 2020-03-01 18:14:48 +08:00 4
@Love4Taylor 说的对,Letsencrypt 只提供 DV 型证书,大公司的证书你翻一下基本上全是 OV EV 的。前者只能保证通讯过程安全,不被 MITM,后两者才能保证你访问的是官方网站(不被钓鱼攻击,比如使用 unicode 域名,像 a pp le.com 这种)。后两者证书需要提供公司执照等等,还要人工参与才会分发,当然价值不菲。
@linjinbao66 letsencrypt 支持现在非常好了,基本上不会 |
9
Takuron 2020-03-01 18:20:04 +08:00 via Android
没有缺点,相当于为普及 https 放出的小福利,个人偷着用,大企业自然会选别的可信度更高的证书。
|
10
IvanLi127 2020-03-01 18:41:22 +08:00 via Android
用的时候没有优越感? 哈哈 没感觉有啥缺陷🤣
|
11
Stain5 2020-03-01 18:56:53 +08:00
免费的个人 DV 不香了吗
每年重新部署一次 可靠性不是比 90 天的强多了 |
12
hash 2020-03-01 19:24:37 +08:00
ECC 根证书已经鸽到不写预计时间了
|
13
yylzcom 2020-03-01 19:33:57 +08:00 1
dns.he.net 用的就是 Let's Encrypt 的证书,我觉得相对于个人来说这个足够"大"了
https://community.letsencrypt.org/t/list-of-brands-using-letsencrypt-ssl/50000/5 这个帖子里有人列举了在用 Let's Encrypt 的几个还算比较大的站点 https://letsencrypt.org/stats/ 这个页面里有详细的证书数据,那么多站点都用了,所以不用担心有什么坑 大公司一般都用付费的 EV 或者 OZ 证书,这就是为什么很少有大公司用… 付费的证书是有一定保险额度的,万一发生点什么(具体没仔细研究过),是可以拿到赔偿金的 我觉得,个人或者中小公司用 Let's Encrypt 完全没问题 |
15
VANHOR 2020-03-01 19:36:35 +08:00
readhub.cn 用的也是 Let's Encrypt
|
16
d5 2020-03-01 19:41:23 +08:00
有一些教程,说利用 adblock,把 letsencrypt 验证域名还有苹果的几个域名一加,设置就无法检测到更新了。。
|
17
zi 2020-03-01 19:49:48 +08:00
seagroup 的招聘站用的就是 lets 证书,https://career.seagroup.com/
|
18
vinsec 2020-03-01 19:52:03 +08:00 via iPhone
平时喜欢看网站的证书类型,如果企业网站用 let’s encrypt 我还会觉得怪怪的
|
20
dndx 2020-03-01 23:04:43 +08:00
只有 DV,没有 EV,没有 OV,没有 SLA,没有售后。
90 天这个真的不能算是缺陷,实际上考虑域名会过期以及 key 需要经常更换反而更安全。君不见 Google 自己给自己签的也都是 90 天的证书。自动化续约即可。 |
21
webshe11 2020-03-02 01:00:10 +08:00
如果你买国内 VPS 玩没有备案,80 443 端口全被封,同时如果你的 DNS 不支持 API,那就需要每次手动改 TXT 记录,非常痛苦
|
22
whywhywhy 2020-03-02 12:20:27 +08:00 via Android
@gwy15 https 普及的时候也普及出一堆知名和不知名的网站证书过期没有人管(看到的不知道在哪反馈,管理人员知道处理但是又看不到(没看到)),还有的用上了更高级的 hsts 和 HSTS Preload List,还得找个上古时期不认识 hsts 的浏览器才能打开。。。让你想骂人的心都有
所以,还是期限越长越好,90 天还是太少了。 |
23
myssl 2020-03-04 15:43:44 +08:00
LE 签发的 300 万证书明天开始吊销,没有售后支持,用户一脸懵逼,甚至都不知道(说好的自动更新)。明天开始用 myssl.com 来检测吧,顺便加个监控,吊销了还能给你通知。
|
24
sn01615 2020-04-15 19:03:09 +08:00
iOS 不知道为啥给 Let's Encrypt 做了个联网验证,最接近验证那个地址国内无法访问了,然后 iOS 就直接卡死,超时。
|
25
wewx 2021-09-21 11:14:03 +08:00 via iPhone
Let's Encrypt 的 OCSP 验证服务器因不可抗拒的原因是无法访问的,这会导致在某些要求强制验证 OCSP 的浏览器下,第一次打开会变慢,具体体现在 IE 和 Safari 上;不过可以通过服务器缓存 OCSP 响应的方式来暂时解决,不过还是治标不治本 ^_^^_^^_^
digitcert……cn SSL 证书价格参考: 单域名 21 元 /年 通配符 248 元 /年 |
26
iugo 339 天前
刚签发 Let's Encrypt DV 证书, 显示 ocsp_url 为 http://r3.o.lencr.org.
通过 nslookup r3.o.lencr.org 223.5.5.5 查看 IPv4 是 23.44.51.35 和 23.44.51.8. 以 23.44.51.35 为例, IP 归属为东京. ping 的结果也的确是东京 1ms 左右. 国内访问延迟大多 100ms 以内, 个别会到 200ms. |
27
kevinwenyu 131 天前
可能是不支持泛域名吧~
|