这是一个创建于 405 天前的主题,其中的信息可能已经有所发展或是发生改变。
自动的 https 证书管理( acme )一般都是 letsencrypt ,并且有效期三个月,没看到有哪个商业收费证书支持 acme 自动申请。目前想要自动维护证书,基本是 letsencrypt 或者 zerossl 。
letsencrypt 能查到的问题 https://vps.yangmao.info/163640.html 另外 OCSP 是 r3.o.lencr.org , 通过在线 ping 检查,ip 基本分布在境外,最近的是香港、日本等地
34 条回复 • 2023-08-12 14:24:51 +08:00
 |
1
ibiubiu 2023-08-11 23:03:03 +08:00
go 自己实现一个
|
 |
2
bli22ard OP @ibiubiu 一年的证书基本都收费的,要不就有同一个域名下的数量限制。另外证书颁发机构没看到有提供 acme 接口的
|
 |
3
estk 2023-08-11 23:20:04 +08:00
之前有个经验是 let‘s 开发的支付宝回调 webhook 无法正常接收通知,同一个域名换 DV 证书就可以
不知道我是不是一个人 |
 |
6
fox0001 2023-08-11 23:33:36 +08:00 via Android
Cloudflare 提供的免费证书,也是只有 3 个月。颁发组织是 Google Trust Service LLC 。
|
 |
7
Alwaysonline 2023-08-11 23:52:41 +08:00
有过几次没续签上,乖乖地用了腾讯云免费 SSL ,1 年去折腾 1 次还有点省事。
|
 |
8
naminokoe 2023-08-12 02:32:24 +08:00 via iPhone
直接 cloudflare 不就行了
|
 |
10
Love4Taylor 2023-08-12 07:03:22 +08:00 via iPhone
GTS 完事
|
 |
11
Jirajine 2023-08-12 07:51:49 +08:00
没什么风险,付费证书不比 le 的证书更可信。像那些自主可控的 CA 根证书早都全部拉黑了。
|
 |
12
kaneg 2023-08-12 08:14:10 +08:00 via iPhone
最大的问题就是时间有点短,但毕竟免费的,也不能太挑剔。
|
 |
13
billzhuang 2023-08-12 09:04:02 +08:00 via iPhone
le 之前有过一次风险,它的 OCSP 服务器托管在 akamai cdn 上,那个 akamai 节点被强了
|
|
15
bli22ard OP @Love4Taylor gts 是什么
|
|
16
bli22ard OP @Alwaysonline 这个 acme 的 endpoint 是国外的地址,有时候是访问不稳定
|
 |
17
msg7086 2023-08-12 09:27:30 +08:00  1
传统来说,商业收费证书的收费主要是来自维护 CA 证书和周边服务器的成本,以及签发所需的验证成本。
最普通的 DV 证书,一般是验证域名邮箱地址。如果是更高级的 OV EV 证书,还要验证公司资质。 DV 证书现在改用 acme 协议以后,不再需要复杂的邮箱验证服务,而是简单的 HTTP/DNS 查询即可,运营成本降低了。签发自动化,所以不再需要一年一签了,90 天甚至 30 天证书都可以做到,大大增加了安全性。(毕竟有效期越长越有泄露危险。) 至于 OV EV ,本来就要复杂的资质验证,做不到自动化签发。 如果觉得 LE 的不好用,除了用 ZeroSSL 以外,也可以用 Google 证书。我手头大部分网站都改用 Google 证书了。 SSL 证书算是典型的靠山吃山行为,一个企业花大钱把自己的根证书搞进信任链,然后就可以坐着挣用户的钱了。要不是有 LE 打破这种垄断,可能大家还在 9.9 刀一个域名,99 刀一个 SAN/野卡呢。 |
 |
18
loopinfor 2023-08-12 09:29:54 +08:00
好像网上某些精简版的 win10 不认 letsencrypt 证书,如果不是正规途径装的电脑会打不开网站。
|
|
19
bli22ard OP @msg7086 经过网上一番搜索,发现 https://kn007.net/topics/using-acme-sh-and-acme-dns-get-googles-free-wildcard-ssl-certificate/ 。google 这个证书会存在 acme endpoint 和 ocsp 被墙的问题
|
 |
21
makelove 2023-08-12 09:47:41 +08:00
OCSP 可以解决,如果 vps 在墙外,直接在 nginx 里几行代码设置就行,如果在墙内设置个 ocsp 代理(有开源项目)
这样就不怕验证地址被墙了 |
 |
22
crysislinux 2023-08-12 09:47:53 +08:00 via Android
大的云服务选择都有自动 renew 的免费证书了吧,我们在用 aws 的
|
|
24
Love4Taylor 2023-08-12 10:00:06 +08:00 via iPhone
@bli22ard Google Trust Service
|
 |
25
just1 2023-08-12 10:58:49 +08:00
ocsp 装订啊
|
 |
31
ZeroClover 2023-08-12 12:25:50 +08:00
OCSP 是最微不足道的问题
有效期短于 10 天的证书,按 CA/B Baseline 不执行 OCSP 检查 所以  |
 |
32
caomingjun 2023-08-12 13:44:35 +08:00 via Android
@bli22ard 我测过 GTS 的 OCSP ,在境内是有节点的。acme endpoint 倒是确实被墙了。
|
|
33
bli22ard OP @ZeroClover acme 申请到的 letsencrypt 是三个月的。
|
Select Language