V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
kincaid
V2EX  ›  云计算

国内云厂应该再没有免费的一年前证书了吧

  •  
  •   kincaid · 256 天前 · 7633 次点击
    这是一个创建于 256 天前的主题,其中的信息可能已经有所发展或是发生改变。

    关于免费 SSL 证书策略调整通知-腾讯云

    估计以后免费证书应该是 ACME 的天下了

    63 条回复    2024-03-26 11:57:48 +08:00
    Alwaysonline
        1
    Alwaysonline  
       256 天前
    阿里云变 3 个月后,迟早的事情。

    1 、搞个泛域名证书,以前的必须用的,直接改子域名。
    2 、乱七八糟的后缀域名,不“传家”了,直接丢了。😂
    kincaid
        2
    kincaid  
    OP
       256 天前
    @Alwaysonline 这个确实,我原来 20 多个域名,现在扔的只剩 11 个了
    daimaosix
        3
    daimaosix  
       256 天前
    是的,三个月就很麻烦,现在用的 ACME
    SilentOrFight
        4
    SilentOrFight  
       256 天前
    用 acme 脚本自动续签呗~
    kincaid
        5
    kincaid  
    OP
       256 天前
    @SilentOrFight 服务器倒是不是问题,主要是 CDN 这种云资源
    lichao
        6
    lichao  
       256 天前 via iPhone
    腾讯云 ssl 还是一年
    mytsing520
        7
    mytsing520  
       256 天前   ❤️ 1
    三个月是 CA 厂商根据权威组织要求做的变更
    xmumiffy
        8
    xmumiffy  
       256 天前 via Android
    @kincaid 以前 CDN 还能自己自动续期证书,后来也停了
    lstz
        9
    lstz  
       256 天前 via Android
    3 个月的证书,挺麻烦,有自动更新 SSL 证书的工具箱就好了
    lichao
        10
    lichao  
       256 天前 via iPhone
    @mytsing520 目前的硬性要求是不超过 12-13 个月,3 个月应该只是建议
    dodakt
        11
    dodakt  
       256 天前

    腾讯云还是 不过估计也快了
    dier
        12
    dier  
       256 天前
    而且每年还限 20 个,所以 K8S 上已经改成用 cert-manager 来自动申请了,还省得我临期要去更新
    810244966
        13
    810244966  
       256 天前
    华为云有免费的一年的
    anubu
        14
    anubu  
       256 天前
    cert-manager/caddy/traefik 可以用起来了,公网可以访问 80 和 443 的话,使用 HTTP-01 challenge 还是挺简单的。访问端口受限可以使用 DNS-01 challenge ,DNS API 操作受限还可以使用 acme-dns ,通过 CNAME 绕一下。
    另外,业务证书监控还是要加一下。
    shenjinpeng
        15
    shenjinpeng  
       256 天前
    搞个面板管理网站, lets encrypt 自动续签 , 或者直接丢给 cloudflare 代理
    ETiV
        16
    ETiV  
       256 天前 via iPhone
    云上的服务都有 API ,拿第一方的命令行工具(配合 jq )可以很方便的上传、替换证书的
    stimw
        17
    stimw  
       256 天前
    所以这玩意对云厂商来说成本高吗,为什么之前提供现在不提供
    kilvn
        18
    kilvn  
       256 天前
    1 、cf 15 年域名证书
    2 、freessl 这种第三方的
    3. acme 自动续期
    xiamy1314
        19
    xiamy1314  
       256 天前
    acme 丢那自动续签去。
    fresco
        20
    fresco  
       256 天前
    刚发现证书变 3 个月了,还好我有自动续签
    jackrebel
        21
    jackrebel  
       256 天前
    腾讯云还有 1 年的, 在控制台里面
    jackrebel
        22
    jackrebel  
       256 天前
    @810244966 华为云没了吧, 我咋没找到, 上面的通告早在去年就只 3 个月了。
    supuwoerc
        23
    supuwoerc  
       256 天前
    吓出一身冷汗,突然想起来自己已经跑路去 vercel 了...
    qa2080639
        24
    qa2080639  
       256 天前
    mark 很多项目用了证书是在代码里配置的 改成 3 个月太难受 https 证书应该是普及安全而不是云厂商的敛财工具
    isaced
        25
    isaced  
       256 天前
    目前痛点就是 CDN 上的证书得三个月跑上去手动更新一次,太麻烦了,是不是可以有什么工具自动通过 API 对接更新如阿里云/腾讯云的 CDN SSL 证书
    longsays
        26
    longsays  
       256 天前 via Android
    @jackrebel @dodakt @lichao 说的就是腾讯云,4 月 25 日前还能申请一年期,之后就只能 3 个月了
    zzzzzzZ
        27
    zzzzzzZ  
       256 天前
    圈内基本都改成 90 天,不是某一家,理由是短期安全+跟着谷歌搞
    MoTao
        28
    MoTao  
       256 天前
    腾讯云
    免费 SSL 证书有效期由 12 个月调整至 3 个月。2024 年 4 月 25 日零点以后,在腾讯云申请的免费 SSL 证书有效期由 12 个月调整至 3 个月( 2024 年 4 月 25 日以前签发的证书有效期不变)。
    lichao
        29
    lichao  
       256 天前
    @longsays 我去,还真是
    kincaid
        30
    kincaid  
    OP
       256 天前
    @xmumiffy 腾讯云的 EdgeOne 有这个功能,但我有点不想用了
    kincaid
        31
    kincaid  
    OP
       256 天前
    @stimw 这几家云厂商都是看上游脸色,比如腾讯的上游是亚信,阿里是天威好像
    主要问题是他们没自己跟 CA 谈,要不其实一年免费证书还能拿到
    docx
        32
    docx  
       256 天前 via iPhone
    都是 TrustAsia 下游自然都受影响,唯独区别是谁先谁后
    eber
        33
    eber  
       256 天前 via Android   ❤️ 1
    @kilvn 1 、cf15 年仅限 cf 网络,公共网络不信任。
    2 、freesll 这种第三方免费一年证书一般也是用的亚洲诚信。
    3 、acme 协议的工具还是挺方便的,很多都支持回调自定义脚本或命令。

    @isaced cdn 不自动续签确实恶心。不过目前又拍云是支持自动续签的。
    eber
        34
    eber  
       256 天前 via Android
    理论上 cdn 厂商支持 ssl 证书自动续签并不复杂,不知道什么原因某些厂商就是不支持😢
    idontnowhat2say
        35
    idontnowhat2say  
       256 天前
    谁来有空来搞个开源的工具,支持调用各种公有云的 api 接口,来替换 slb ,waf ,cdn 上的证书
    tom8
        36
    tom8  
       256 天前
    @eber 我们自己弄了 k8s acme 证书续签,更新阿里云 cdn 证书
    jim9606
        37
    jim9606  
       256 天前
    这块的主流方向就是缩短有效期+ACME 自动续期,这算是 CA/B 论坛推的方向。
    因为现有的 CRL/OCSP 不太符合业界发展方向,缩短有效期可以有效减少对这俩的依赖。
    lichao
        38
    lichao  
       256 天前
    @tom8 阿里云 cdn 证书能自动更新证书吗?怎么做到的?
    shiny
        39
    shiny  
       256 天前
    @idontnowhat2say 之前想搞过,acme 的库做好了,UI 也做了一半,后来放弃了。生活所迫。
    JensenQian
        40
    JensenQian  
       256 天前 via Android
    要么 30 买个 alpha ssl 的一年通配符算了
    要么 acme 三个月也不是不能用
    mytsing520
        41
    mytsing520  
       256 天前
    @eber
    证书的自动化签发校验仅限 DV ,校验方式为 DNS 或验证文件。
    DNS 的校验方法,一般只靠 CNAME 解析的 CDN 厂商是不具备条件的,而要像 CF 这样 NS 全接管的才行,而且通配符的证书是必须 DNS 校验。
    至于验证文件模拟访问校验,CDN 厂商通过更改特定目录文件的方式自动更新,但这样一来会存在篡改客户网页内容的指控,这不是靠客户授权或证明的方式可以洗脱的。
    综上,要么干,如果纠结页面篡改的问题,那就别干
    lichao
        42
    lichao  
       256 天前
    @mytsing520 貌似是这个道理,国内 CDN 厂商实操上基本都不是 NS 全接管的
    shiny
        43
    shiny  
       256 天前
    @mytsing520fly.io 一样 cname 一个 _acme-challenge 开头的子域名就能自动颁发了
    mozhizhu
        44
    mozhizhu  
       256 天前
    谷歌在推强制 3 个月有效期的 ssl ,所以顺势而为
    kincaid
        45
    kincaid  
    OP
       256 天前
    @shiny cloudflare 的 SaaS 接入就是这种,不过这种如果你自己申请证书的时候就麻烦了,还有种可能在两个不同的 CDN 厂商
    kincaid
        46
    kincaid  
    OP
       256 天前
    @mozhizhu 说句现实的 主要还是能收点钱
    vjnjc
        47
    vjnjc  
       256 天前
    请教一下,lets encrypt 和阿里云申请的证书有啥区别呀
    用起来 lets encrypt 更爽啊,没有人工工作量
    lcy630409
        48
    lcy630409  
       256 天前   ❤️ 1
    @isaced
    自己按照文档写一个就好了
    我写的很凌乱 不过能用就好
    https://whzxc.cn/z.txt?v=3
    lcy630409
        49
    lcy630409  
       256 天前
    @vjnjc
    lets encrypt 需要一定的技术知识
    kincaid
        50
    kincaid  
    OP
       256 天前
    @vjnjc 马上 lets 就快有兼容性问题了,和 identrust 不交叉了
    longsays
        51
    longsays  
       256 天前 via Android
    @vjnjc lets 马上有兼容性问题,换 google 的三个月吧
    salmon5
        52
    salmon5  
       256 天前
    3 个月证书,购买就能 1 年,根证书 15 年有效期才是最麻烦的。
    https://www.v2ex.com/t/1016839
    salmon5
        53
    salmon5  
       256 天前
    CA/B 就是麻烦制造者。
    Jirajine
        54
    Jirajine  
       256 天前
    @salmon5 #52 如果你不理解缩短证书有效期的意义,那么你的场景不适合用 tls,直接裸 http 明文或者自己硬编码 pre shared key 比较好。
    lianxiaoyi
        55
    lianxiaoyi  
       255 天前
    @SilentOrFight 大佬,问一下,续签后还需要重新上传密钥 和私钥那些东西吗?因为很多证书都是在云平台使用。
    crocoBaby
        56
    crocoBaby  
       255 天前
    幸好刚续了一年
    holinhot
        57
    holinhot  
       255 天前 via iPhone
    @eber 因为想卖收费证书
    W4J1e
        58
    W4J1e  
       255 天前
    我的想法是:服务器上的由脚本或者面板续签,CDN 那边目前还提供一年期的证书,暂且用着吧。要是以后 CDN 那边也只最长三个月了,那就挺麻烦的。
    qgy18
        59
    qgy18  
       255 天前
    @lcy630409 感谢你的代码,稍微改了下,已经跑在家里的树莓派上,非常满意。

    https://gist.github.com/qgy18/c7b1d2b61377c9ea888cd90160b348b3
    momooc
        60
    momooc  
       255 天前 via Android
    lego 试试
    SilentOrFight
        61
    SilentOrFight  
       252 天前
    @lianxiaoyi #55 这只是自己加一下后续脚本导出,自己手动上传
    tom8
        62
    tom8  
       252 天前   ❤️ 1
    @lichao k8s 中 cert-manager 会自动更新证书,保存到 sercet 中,通过 k8s api 拿到 sercet 中证书,检测证书的时间,调用阿里云 cdn api 更新证书
    lichao
        63
    lichao  
       252 天前
    @tom8 感谢,搜到阿里云 cdn api 的文档了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1388 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 17:40 · PVG 01:40 · LAX 09:40 · JFK 12:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.