V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
loginv2
V2EX  ›  问与答

域名开启智能 DNS 解析并使用 let's encrypt 的免费证书的时候 应该如何选择验证的服务器

  •  
  •   loginv2 · 2018-10-13 17:48:31 +08:00 · 1876 次点击
    这是一个创建于 2233 天前的主题,其中的信息可能已经有所发展或是发生改变。

    现在是 境内两台和境外两台服务器,做了不同线路的智能解析 同一个域名根据访客来源的地域不同分别返回结果 A,B,C,D 四个 A 记录 A 为联通 B 为电信 C 在北美 D 在西欧

    现在要用 let's encrypt 的 SSL 证书,需要在其中一台上面申请,然后 scp 到其他服务器 想知道应该以哪个为准? 目前解析用的阿里云的 DNS,没有 TXT 记录权限,只能通过 HTTP 的方式验证域名所有权限。

    19 条回复    2018-10-14 11:58:16 +08:00
    isCyan
        1
    isCyan  
       2018-10-13 17:50:50 +08:00 via Android
    北美,最好也设上西欧
    以及,你也可以使用 TXT 验证
    isCyan
        2
    isCyan  
       2018-10-13 17:51:11 +08:00 via Android
    为什么阿里云没有 TXT 记录权限
    loginv2
        3
    loginv2  
    OP
       2018-10-13 18:01:34 +08:00
    @isCyan 因为域名是合作商的,给他们提这个需求要走一大堆流程,最后还被拒绝了
    loginv2
        4
    loginv2  
    OP
       2018-10-13 18:02:07 +08:00
    @isCyan 北美和西欧同时验证不会冲突么?
    isCyan
        5
    isCyan  
       2018-10-13 18:02:33 +08:00 via Android   ❤️ 1
    @loginv2 怎么会冲突,...
    privil
        6
    privil  
       2018-10-13 18:20:49 +08:00
    @loginv2 #3 建议在合作商那边申请泛域名证书再分发吧,话说都是商用了,舍不得一年花几千买个证书么……
    ZE3kr
        7
    ZE3kr  
       2018-10-13 18:21:00 +08:00 via iPhone
    TXT 验证可以使用 CNAME 代替,无需域名所用的 DNS 服务商提供 API 支持: https://github.com/Neilpang/acme.sh/wiki/DNS-alias-mode
    isCyan
        8
    isCyan  
       2018-10-13 18:45:37 +08:00 via Android
    @privil 纯粹浪费钱,卖奢侈品的路易威登母公司都在用 Let's Encrypt
    https://www.lvmh.com
    flynaj
        9
    flynaj  
       2018-10-13 18:51:42 +08:00 via Android
    用哪个申请应该看 let's encrypt 解析到的 IP,用哪个都有可能。
    loginv2
        10
    loginv2  
    OP
       2018-10-13 18:52:32 +08:00
    @privil 商用不代表就可以大手大脚啊,很多小公司还是很穷的,而且不是自己公司,沟通很难,把人家出钱方搞烦了,这买卖不做了?对面也没个明白人,连技术都没有

    @ZE3kr 没有 TXT 验证的权限,对面不给。
    isCyan
        11
    isCyan  
       2018-10-13 18:54:00 +08:00 via Android
    @loginv2 有 cname 就行,cname 把 txt 转发到另外一个支持 txt 的域名即可验证
    privil
        12
    privil  
       2018-10-13 18:56:03 +08:00
    @loginv2 #10 商用用个收费证书,至少证明自己不会随时跑路,哈哈哈,既然都这样了,你还何必上什么 SSL,反正也是草台公司
    isCyan
        13
    isCyan  
       2018-10-13 18:56:15 +08:00 via Android   ❤️ 1
    而且由于 cname 在_acme-challenge 子域名,不影响当前域名,无需更改服务器
    但是需要一个额外域名
    cy97cool
        14
    cy97cool  
       2018-10-14 01:18:36 +08:00 via Android
    你可以把三台服务器的.well-known 路径反向代理到一台上面呀
    msg7086
        15
    msg7086  
       2018-10-14 05:23:24 +08:00
    @privil 说何必上 SSL 的是脑子进水了吗?花冤枉钱和保护用户的安全是一回事?
    privil
        16
    privil  
       2018-10-14 09:16:07 +08:00
    @msg7086 #15 当一个公司连 IT 相关的工作人员都没有的时候,我并不认为他们上了 SSL 就能保护用户的安全
    loginv2
        17
    loginv2  
    OP
       2018-10-14 11:05:34 +08:00
    @msg7086 MR 这话戾气有点重啊,遇到什么不开心的事了么?

    @privil 他们没有 IT,所以才会找到我们来做这个,保证安全是我的职责之一,至于要不要花钱买证书,从加密强度上看是没有区别的,我有告知对方细节的义务,对方选择不花这个钱,那也不应该由我们来出钱购买,谁的钱都是钱,想着节省成本是做买卖的一部分,商用不代表可以大手大脚,不能因为现在企业穷就不做买卖了。当然我也可以不做 SSL,但是最后出了安全问题,锅还是要我们来背,假如你是企业负责人,你会怎么看待这个事情呢。


    对方不给 TXT 解析权限原因很简单,因为可以无限创建子域名随意解析,这可能会被利用在制作诈骗钓鱼网站上面,可以理解。
    msg7086
        18
    msg7086  
       2018-10-14 11:24:15 +08:00
    @privil 我就问一句,上了 SSL 和裸数据 HTTP 对比,用户在网络上的通讯安全是否有提升,是否能抵抗运营商劫持数据插入广告盗取密码等行为。
    privil
        19
    privil  
       2018-10-14 11:58:16 +08:00
    @loginv2 #17 看项目类型,任何涉及到财产支付类型的项目我建议至少要上 ssl 企业级别的证书,这是一种背书,证书发放商会对你的企业做基本的认证,再说了,我也只是说申请收费是一种比较好的选择,没收费的方案我第一个回复就告诉你了,在客户的服务器申请证书,分发到你们项目就好了,dns 的 api 脚本放在客户的服务器,你接触不到,给权限的问题,说到底还是信任的问题。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1798 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 16:36 · PVG 00:36 · LAX 08:36 · JFK 11:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.