V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
bli22ard
V2EX  ›  问与答

来说说 letsencrypt 存在问题,以及生产环境使用的风险

  •  
  •   bli22ard · 2023-08-11 22:59:37 +08:00 · 3727 次点击
    这是一个创建于 480 天前的主题,其中的信息可能已经有所发展或是发生改变。

    自动的 https 证书管理( acme )一般都是 letsencrypt ,并且有效期三个月,没看到有哪个商业收费证书支持 acme 自动申请。目前想要自动维护证书,基本是 letsencrypt 或者 zerossl 。

    letsencrypt 能查到的问题 https://vps.yangmao.info/163640.html 另外 OCSP 是 r3.o.lencr.org , 通过在线 ping 检查,ip 基本分布在境外,最近的是香港、日本等地

    34 条回复    2023-08-12 14:24:51 +08:00
    ibiubiu
        1
    ibiubiu  
       2023-08-11 23:03:03 +08:00
    go 自己实现一个
    bli22ard
        2
    bli22ard  
    OP
       2023-08-11 23:06:08 +08:00
    @ibiubiu 一年的证书基本都收费的,要不就有同一个域名下的数量限制。另外证书颁发机构没看到有提供 acme 接口的
    estk
        3
    estk  
       2023-08-11 23:20:04 +08:00
    之前有个经验是 let‘s 开发的支付宝回调 webhook 无法正常接收通知,同一个域名换 DV 证书就可以
    不知道我是不是一个人
    bli22ard
        4
    bli22ard  
    OP
       2023-08-11 23:22:27 +08:00
    @estk 免费没好货吗 😂
    estk
        5
    estk  
       2023-08-11 23:27:42 +08:00
    @bli22ard #4
    可能支付宝觉得 let's 安全等级不够,不认它
    可能我是一个人,没听别人说过这事
    fox0001
        6
    fox0001  
       2023-08-11 23:33:36 +08:00 via Android
    Cloudflare 提供的免费证书,也是只有 3 个月。颁发组织是 Google Trust Service LLC 。
    Alwaysonline
        7
    Alwaysonline  
       2023-08-11 23:52:41 +08:00
    有过几次没续签上,乖乖地用了腾讯云免费 SSL ,1 年去折腾 1 次还有点省事。
    naminokoe
        8
    naminokoe  
       2023-08-12 02:32:24 +08:00 via iPhone
    直接 cloudflare 不就行了
    louisxxx
        9
    louisxxx  
       2023-08-12 03:44:00 +08:00
    @estk 好像是支付宝的 jdk 版本太旧了,没有内置 let's 根证书。
    Love4Taylor
        10
    Love4Taylor  
       2023-08-12 07:03:22 +08:00 via iPhone
    GTS 完事
    Jirajine
        11
    Jirajine  
       2023-08-12 07:51:49 +08:00
    没什么风险,付费证书不比 le 的证书更可信。像那些自主可控的 CA 根证书早都全部拉黑了。
    kaneg
        12
    kaneg  
       2023-08-12 08:14:10 +08:00 via iPhone
    最大的问题就是时间有点短,但毕竟免费的,也不能太挑剔。
    billzhuang
        13
    billzhuang  
       2023-08-12 09:04:02 +08:00 via iPhone
    le 之前有过一次风险,它的 OCSP 服务器托管在 akamai cdn 上,那个 akamai 节点被强了
    bli22ard
        14
    bli22ard  
    OP
       2023-08-12 09:06:27 +08:00
    @fox0001 cf 证书是直接申请的, 还是 http 服务托管的那种证书
    bli22ard
        15
    bli22ard  
    OP
       2023-08-12 09:06:46 +08:00
    @Love4Taylor gts 是什么
    bli22ard
        16
    bli22ard  
    OP
       2023-08-12 09:07:41 +08:00
    @Alwaysonline 这个 acme 的 endpoint 是国外的地址,有时候是访问不稳定
    msg7086
        17
    msg7086  
       2023-08-12 09:27:30 +08:00   ❤️ 1
    传统来说,商业收费证书的收费主要是来自维护 CA 证书和周边服务器的成本,以及签发所需的验证成本。
    最普通的 DV 证书,一般是验证域名邮箱地址。如果是更高级的 OV EV 证书,还要验证公司资质。
    DV 证书现在改用 acme 协议以后,不再需要复杂的邮箱验证服务,而是简单的 HTTP/DNS 查询即可,运营成本降低了。签发自动化,所以不再需要一年一签了,90 天甚至 30 天证书都可以做到,大大增加了安全性。(毕竟有效期越长越有泄露危险。)
    至于 OV EV ,本来就要复杂的资质验证,做不到自动化签发。

    如果觉得 LE 的不好用,除了用 ZeroSSL 以外,也可以用 Google 证书。我手头大部分网站都改用 Google 证书了。

    SSL 证书算是典型的靠山吃山行为,一个企业花大钱把自己的根证书搞进信任链,然后就可以坐着挣用户的钱了。要不是有 LE 打破这种垄断,可能大家还在 9.9 刀一个域名,99 刀一个 SAN/野卡呢。
    loopinfor
        18
    loopinfor  
       2023-08-12 09:29:54 +08:00
    好像网上某些精简版的 win10 不认 letsencrypt 证书,如果不是正规途径装的电脑会打不开网站。
    bli22ard
        19
    bli22ard  
    OP
       2023-08-12 09:42:59 +08:00
    @msg7086 经过网上一番搜索,发现 https://kn007.net/topics/using-acme-sh-and-acme-dns-get-googles-free-wildcard-ssl-certificate/ 。google 这个证书会存在 acme endpoint 和 ocsp 被墙的问题
    bli22ard
        20
    bli22ard  
    OP
       2023-08-12 09:43:38 +08:00
    @loopinfor 这精简过分了
    makelove
        21
    makelove  
       2023-08-12 09:47:41 +08:00
    OCSP 可以解决,如果 vps 在墙外,直接在 nginx 里几行代码设置就行,如果在墙内设置个 ocsp 代理(有开源项目)
    这样就不怕验证地址被墙了
    crysislinux
        22
    crysislinux  
       2023-08-12 09:47:53 +08:00 via Android
    大的云服务选择都有自动 renew 的免费证书了吧,我们在用 aws 的
    msg7086
        23
    msg7086  
       2023-08-12 09:58:58 +08:00
    @bli22ard 我觉得墙内本来就没有什么好选择,要在墙内用的话最好还是老老实实用国内大厂的了。
    Love4Taylor
        24
    Love4Taylor  
       2023-08-12 10:00:06 +08:00 via iPhone
    @bli22ard Google Trust Service
    just1
        25
    just1  
       2023-08-12 10:58:49 +08:00
    ocsp 装订啊
    bli22ard
        26
    bli22ard  
    OP
       2023-08-12 11:00:31 +08:00
    @makelove
    @just1 这样都得通过代理吧,那问题又到了一个需要一个稳定的代理。😂
    bli22ard
        27
    bli22ard  
    OP
       2023-08-12 11:01:52 +08:00
    @msg7086 大厂自动签发麻烦,还有收费, 所以想聊聊这个事情,看看有没有 https 证书最佳实战
    just1
        28
    just1  
       2023-08-12 11:12:43 +08:00
    @bli22ard #26 可以不需要
    bli22ard
        29
    bli22ard  
    OP
       2023-08-12 11:15:54 +08:00
    @just1 这些免费的 oscp 地址可能会被墙吧
    fox0001
        30
    fox0001  
       2023-08-12 11:55:04 +08:00 via Android
    @bli22ard #14 最简单的一键设置
    ZeroClover
        31
    ZeroClover  
       2023-08-12 12:25:50 +08:00
    OCSP 是最微不足道的问题

    有效期短于 10 天的证书,按 CA/B Baseline 不执行 OCSP 检查

    所以

    caomingjun
        32
    caomingjun  
       2023-08-12 13:44:35 +08:00 via Android
    @bli22ard 我测过 GTS 的 OCSP ,在境内是有节点的。acme endpoint 倒是确实被墙了。
    bli22ard
        33
    bli22ard  
    OP
       2023-08-12 14:24:01 +08:00
    @ZeroClover acme 申请到的 letsencrypt 是三个月的。
    bli22ard
        34
    bli22ard  
    OP
       2023-08-12 14:24:51 +08:00
    @bli22ard 那生产需要一个稳定的代理, 才能确保 acme endpoint 访问通畅, 这个貌似又不好办到
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3313 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 12:04 · PVG 20:04 · LAX 04:04 · JFK 07:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.