全球主机交流论坛

标题: Let's Encrypt 怎么就不香了? [打印本页]
作者: march1993    时间: 2020-7-24 12:52
标题: Let's Encrypt 怎么就不香了?
有看到说其他证书 1 年不用配置的。。 Let's Encrypt 不是几年不用配置的吗?3 个月自动换发新证书之后,Nginx 自动更新的啊;现在 Let's Encrypt 的 ocsp 被污染了,绑定 hosts 就可以绕过了的。

letsencrypt 自动更新后让 nginx 载入新证书
  1. /etc/letsencrypt/renewal-hooks/post$ cat nginx
  2. #! /bin/bash
  3. /etc/init.d/nginx reload
复制代码


我在 /etc/hosts 里绑了一个 Akamai 的节点
  1. 96.17.151.41 ocsp.int-x3.letsencrypt.org
复制代码


nginx 里用到 tls 的站点全部配置 stapling
  1. ssl_stapling on;
复制代码


Let's Encrypt 怎么就不香了?
作者: inkedus    时间: 2020-7-24 12:52
香,免费的最香,可是不想用
作者: march1993    时间: 2020-7-24 12:53
inkedus 发表于 2020-7-24 12:52
香,免费的最香,可是不想用

1 年操作一次那种才麻烦啊
作者: xyk    时间: 2020-7-24 12:55
主要是没逼格
作者: march1993    时间: 2020-7-24 12:57
xyk 发表于 2020-7-24 12:55
主要是没逼格


不都是一个锁的标志吗。。
作者: woniu    时间: 2020-7-24 12:57
香,说不香的是不如楼主会玩!

另外这个是可以申请泛域名啊
作者: march1993    时间: 2020-7-24 12:59
woniu 发表于 2020-7-24 12:57
香,说不香的是不如楼主会玩!

另外这个是可以申请泛域名啊

泛域名就更香了。。
作者: 爱因斯坦    时间: 2020-7-24 12:59
香,但我还是不用
作者: 大猫    时间: 2020-7-24 13:17
非常香,如果OCSP没被墙 不需要装订 更香
作者: lanjuli    时间: 2020-7-24 13:19
不香,用cdn的话无法自动续
作者: llmwxt    时间: 2020-7-24 13:19
提示: 作者被禁止或删除 内容自动屏蔽
作者: 靓坤    时间: 2020-7-24 13:29
请教ios不越狱改hosts, 另外不是每个访客都会改hosts
作者: backlitz    时间: 2020-7-24 13:33
cdn啊,要经常换
作者: shc    时间: 2020-7-24 13:35
1, 虚拟主机没办法开启OCSP, 没办法改hosts……
2, 开启OCSP之后,safari访问还是很慢,不知道是为啥……
3, 有些服务器没办法开启OCSP装订,比如Swoole, H2O, 总不见得为了用Let's Encrypt, 单独再加一层反代吧……
4, 多节点情况下没办法轻易续期;就算续期了,每三个月把证书挨个节点复制一遍非常麻烦……

所以,我觉得两年50几块钱一次性把SSL处理好也是不错的……
作者: wcn    时间: 2020-7-24 13:37
宝塔的Let's Encrypt Authority X3支持泛域名的啊
作者: Yusky    时间: 2020-7-24 13:38
香,但我还是不用
+1
作者: llyang    时间: 2020-7-24 13:40
本帖最后由 llyang 于 2020-7-24 13:42 编辑

我一直是用 letsencypt,acme/ certbot 都在用

但是,没看懂楼主代码写的啥


/etc/letsencrypt/renewal-hooks/post$ cat nginx
#! /bin/bash
/etc/init.d/nginx reload


也包括其它几行代码,看不懂
作者: b67    时间: 2020-7-24 13:47
提示: 作者被禁止或删除 内容自动屏蔽
作者: march1993    时间: 2020-7-24 15:23
靓坤 发表于 2020-7-24 13:29
请教ios不越狱改hosts, 另外不是每个访客都会改hosts

主机端改就行了 要配合 stapling
作者: march1993    时间: 2020-7-24 15:24
llyang 发表于 2020-7-24 13:40
我一直是用 letsencypt,acme/ certbot 都在用

但是,没看懂楼主代码写的啥

letsencrypt本身有定时任务自动续签证书的,在每次续签之后让nginx载入新证书
作者: cm710    时间: 2020-7-24 15:25
香 我一直用的
作者: h3cie    时间: 2020-7-24 15:26
免费就是香
作者: march1993    时间: 2020-7-24 15:28
shc 发表于 2020-7-24 13:35
1, 虚拟主机没办法开启OCSP, 没办法改hosts……
2, 开启OCSP之后,safari访问还是很慢,不知道是为啥……
3 ...

1. 虚拟主机没办法
2. ocsp 国内被污染了
3. 多节点的话在 letsencrypt 更新之后挂个钩子自动复制过去 reload nginx是行的呀
作者: 资源窝    时间: 2020-7-24 16:50
shc 发表于 2020-7-24 13:35
1, 虚拟主机没办法开启OCSP, 没办法改hosts……
2, 开启OCSP之后,safari访问还是很慢,不知道是为啥……
3 ...

这个价位的推荐下哪家最香?不过这种价格的肯定不能支持泛域名吧。
作者: larry    时间: 2020-7-24 16:59
march1993 发表于 2020-7-24 15:28
1. 虚拟主机没办法
2. ocsp 国内被污染了
3. 多节点的话在 letsencrypt 更新之后挂个钩子自动复制过去 re ...

现在都上CDN了,除非CF,不然都得手动上传证书。Let's Encrypt太麻烦。
作者: march1993    时间: 2020-7-24 17:28
larry 发表于 2020-7-24 16:59
现在都上CDN了,除非CF,不然都得手动上传证书。Let's Encrypt太麻烦。

应该都有api接口直接提交部署的。。
作者: larry    时间: 2020-7-24 17:39
march1993 发表于 2020-7-24 17:28
应该都有api接口直接提交部署的。。

一般的MJJ哪有那个开发能力。。
作者: skya    时间: 2020-7-24 17:41
一直在用啊,主要泛域名香
另外就是,OCSP污染了,有解决办法么?
不然客户打开网站要好久
作者: void@w    时间: 2020-7-24 17:44
首次访问非常慢。。
作者: 善良的狼    时间: 2020-7-24 17:48
香,泛域名z太方便了
作者: chr    时间: 2020-7-24 18:04
主要是污染了
作者: march1993    时间: 2020-7-24 18:17
chr 发表于 2020-7-24 18:04
主要是污染了

服务器 hosts 绑定一个然后开 stapling
作者: 凤梨    时间: 2020-7-24 18:20
分场合的,lets如果不通过dns的api验证的话,多前端的情况需要文件验证就会很麻烦
作者: hanhan7979    时间: 2020-7-24 18:31
shc 发表于 2020-7-24 13:35
1, 虚拟主机没办法开启OCSP, 没办法改hosts……
2, 开启OCSP之后,safari访问还是很慢,不知道是为啥……
3 ...

现在买两年的证书能行吗?不会过两天来个有效期太长不信任吧
作者: Lochlain    时间: 2020-7-24 18:34
在用,因为免费。
缺点就是套了cdn要自己续签。
作者: 这是最好的年代    时间: 2020-7-24 18:45
lanjuli 发表于 2020-7-24 13:19
不香,用cdn的话无法自动续

可以的,它支持DNS验证,没建站都能申请证书
作者: march1993    时间: 2020-7-24 20:31
skya 发表于 2020-7-24 17:41
一直在用啊,主要泛域名香
另外就是,OCSP污染了,有解决办法么?
不然客户打开网站要好久 ...

ssl_stapling ,然后服务器端 hosts绑定
作者: march1993    时间: 2020-7-24 20:32
void@w 发表于 2020-7-24 17:44
首次访问非常慢。。

ssl_stapling 啊
作者: dantengde    时间: 2020-7-24 20:33
hanhan7979 发表于 2020-7-24 18:31
现在买两年的证书能行吗?不会过两天来个有效期太长不信任吧

8月17日后就买不到2年的ssl了。
作者: shc    时间: 2020-7-24 23:30
本帖最后由 shc 于 2020-7-24 23:31 编辑
hanhan7979 发表于 2020-7-24 18:31
现在买两年的证书能行吗?不会过两天来个有效期太长不信任吧


今年九月份之前买的两年证书都是有效的,不会不被信任
作者: cybmp3    时间: 2020-7-25 00:25
acme cerbot都很好用啊,用dns去验证域名所有权我个人觉得是最方便了。
作者: holinhot    时间: 2020-7-25 00:50
larry 发表于 2020-7-24 17:39
一般的MJJ哪有那个开发能力。。

有这开发能力的都赚不少钱,缺证书这40块钱。
作者: holinhot    时间: 2020-7-25 00:53
本帖最后由 holinhot 于 2020-7-25 00:54 编辑

想用Let's Encrypt大批量切可靠,那得开发一个证书生命周期管理系统专门负责申请和续期证书。然后下发到服务器节点。光靠每台单机跑个cron太不可靠了
作者: Stevenchu    时间: 2020-7-25 04:02
你这renewal hook什么鬼, 直接在设置证书时候加个`-installer nginx` 就能自己更新重启了啊...
作者: skya    时间: 2020-7-25 09:46
march1993 发表于 2020-7-24 20:31
ssl_stapling ,然后服务器端 hosts绑定

有具体教程么,Linux系统nginx服务器。。。
我也去查下
作者: dkqgt    时间: 2020-7-25 09:55
免费的迟早又被革掉
作者: march1993    时间: 2020-7-25 11:05
Stevenchu 发表于 2020-7-25 04:02
你这renewal hook什么鬼, 直接在设置证书时候加个`-installer nginx` 就能自己更新重启了啊... ...

installer 这个会瞎改我的配置文件。。手动 hook 舒适一点
作者: gdtv    时间: 2020-7-25 11:10
如果是国内服务器,开启本地ocsp在服务器上绑定host没有用,因为ocsp地址被屏蔽了,你国内的服务器也是访问不到ocsp地址的啊,除非你的服务器在国外才有用。
作者: march1993    时间: 2020-7-25 11:57
gdtv 发表于 2020-7-25 11:10
如果是国内服务器,开启本地ocsp在服务器上绑定host没有用,因为ocsp地址被屏蔽了,你国内的服务器也是访问 ...

绑定 akamai 的 hosts 有用的
作者: lanjuli    时间: 2020-7-25 22:51
这是最好的年代 发表于 2020-7-24 18:45
可以的,它支持DNS验证,没建站都能申请证书

cdn都需要自己手动上传ssl证书,而且基本没有什么api支持自动换证书的



欢迎光临 全球主机交流论坛 (https://fd.vvwvv.eu.org/) Powered by Discuz! X3.4