江苏龙网

  1. 首页 > 资讯 > 科技 > >

吠品|使用Let's Encrypt免费证书的有哪些缺点?如何解决一、需要部署服务器环境二、证书有效期太短,只有90天三、证书兼容性不高四、苹果设备首次打开慢五、免费的证书不安全


北京联盟_本文原题:使用Let's Encrypt免费证书的有哪些缺点?如何解决
使用Let's Encrypt免费证书的人越来越多 , 目前总结在使用这个免费的SSL证书遇到的最大的缺点 。 相关标题:Let's Encrypt证书申请 , Let's Encrypt被屏蔽 , letsencrypt续期 , letsencrypt多域名 , let's encrypt在线申请 , let's encrypt自动续期 。
一、需要部署服务器环境 Let's Encrypt提供了申请证书的API接口 , 大家根据这个API开发了各种工具辅助我们申请SSL证书 , 比如官方推荐的cerbot , 但是很多朋友看到命令行一大串配置参数就晕了 。 而且这些还要放在服务器上运行 , 与自己的web服务器配合使用 , 很多人也是用的虚拟主机 , 无法部署这样的环境 。
解决:
有很多平台提供了免费申请SSL证书的服务 , 简化了申请的步骤 , 可以让每个人只要有域名 , 就可以申请自己的SSL证书 。 比如sslforfree和来此加密 。
来此加密网站提供了界面化的操作 , 不需要部署申请环境 , 简化证书申请流程 , 平均10分钟就可以申请到证书 。
吠品|使用Let's Encrypt免费证书的有哪些缺点?如何解决一、需要部署服务器环境二、证书有效期太短,只有90天三、证书兼容性不高四、苹果设备首次打开慢五、免费的证书不安全
本文插图

二、证书有效期太短,只有90天 Let's Encrypt所有申请的免费SSL证书只有90天的有效期 , 需要频繁的续签 , 很麻烦 。 很多人都先直接拥有个3年的证书 , 跟买域名一样 , 这样就不需要维护了 。
可惜的是:如果你的SSL证书超过398天 , 苹果的电脑和手机将不再信任(2020年9月1日起) 。 也就是以后你再也买不到2年、3年的SSL证书了 , 各大平台提供了各种续签服务 , 通过工具帮你续签及部署到环境中 , 让你感觉到买了一个超过1年的证书 。
Let's Encrypt的证书虽然只有90天有效期 , 也是可以通过各种工具实现自动续签、自动部署的功能 。 实现这样的功能需要提供对应的API密钥等信息 , 如果提供了这样的信息 , 存在一定的安全风险 。
解决:
1、利用cerbot等工具部署到自己的服务器中 , 通过定时任务实现自动续签和部署 。
3、申请泛域名和多域名证书 , 一个证书包含多个域名 , 可以减少申请的次数 。
2、通过三方平台申请 。 如来此加密 , 可以申请多域名和泛域名证书 , 利用CNAME解析 , 提供给平台实现自动续签和验证 , 然后利用提供的api接口 , 将证书手动或半自动的部署到自己的服务器中 。
三、证书兼容性不高 Let’s Encrypt 尽力在不影响安全性的前提下与尽可能多的软件兼容 。 也就是目前目前绝大部分设备都是兼容可用的 。 如果在 Windows XP 等较旧的平台上遇到问题 , 最常见的原因是没有配置好该平台支持的加密算法套件或 TLS 版本 , 或者该平台不支持服务器名称指示(SNI) 。
也就是Let's Encrypt免费证书与其他大部分付费的证书兼容性是差不多的 。 一般不需要考虑兼容性问题 。
可以在官网查看证书兼容列表获取更多信息 。
四、苹果设备首次打开慢 主要是Let's Encrypt 验证有效性的 OSCP 域名被国内墙了 , 导致首次打开可能需要多等待5~10秒 , 这个问题本身其实与Let's Encrypt无关 , 如果非国内的用户 , 基本没有这方面的问题 。
然而通过OSCP方式验证域名有效性这个方案 , 在很早就被谷歌给否定了 , 认为这个方案本身就不安全 。 在Chrome和Firefox上 , 不会出现这个问题 。 只有在苹果设备上 , 会进行OSCP方式验证,就造成了首次打开慢 。
解决:
1、资金充裕的买付费的 , 一般不会出现这个问题 。 苹果设备仍然会进行OSCP验证 , 服务器如果没有被墙 , 访问会比较快 。
2、WEB服务器启用OCSP Stapling功能 , 让服务端缓存证书状态协议信息 , 无需再进行OSCP验证 。 该方案成根本上减少了一次请求 , 从根本上提高了用户访问速度 。 目前主流的CDN厂商和主流的WEB服务器都是支持OCSP装订 。


推荐阅读


上一篇:科学|或许不是彗星!奥陌陌突然加速离开太阳系之谜,变得更加棘手

下一篇:品牌|兴长信达深耕数字化营销,助力品牌提高营销能力