估计以后免费证书应该是 ACME 的天下了
![]() |
1
Alwaysonline 2024-03-22 15:01:45 +08:00
|
![]() |
2
kincaid OP @Alwaysonline 这个确实,我原来 20 多个域名,现在扔的只剩 11 个了
|
![]() |
3
daimaosix 2024-03-22 15:10:01 +08:00
是的,三个月就很麻烦,现在用的 ACME
|
![]() |
4
SilentOrFight 2024-03-22 15:14:41 +08:00
用 acme 脚本自动续签呗~
|
![]() |
5
kincaid OP @SilentOrFight 服务器倒是不是问题,主要是 CDN 这种云资源
|
![]() |
6
lichao 2024-03-22 15:45:25 +08:00 via iPhone
腾讯云 ssl 还是一年
|
![]() |
7
mytsing520 2024-03-22 15:47:30 +08:00 ![]() 三个月是 CA 厂商根据权威组织要求做的变更
|
![]() |
9
lstz 2024-03-22 15:50:53 +08:00 via Android
3 个月的证书,挺麻烦,有自动更新 SSL 证书的工具箱就好了
|
![]() |
10
lichao 2024-03-22 15:51:29 +08:00 via iPhone
@mytsing520 目前的硬性要求是不超过 12-13 个月,3 个月应该只是建议
|
![]() |
11
dodakt 2024-03-22 15:53:40 +08:00
|
![]() |
12
dier 2024-03-22 15:54:02 +08:00
而且每年还限 20 个,所以 K8S 上已经改成用 cert-manager 来自动申请了,还省得我临期要去更新
|
![]() |
13
810244966 2024-03-22 16:06:28 +08:00
华为云有免费的一年的
|
![]() |
14
anubu 2024-03-22 16:28:06 +08:00
cert-manager/caddy/traefik 可以用起来了,公网可以访问 80 和 443 的话,使用 HTTP-01 challenge 还是挺简单的。访问端口受限可以使用 DNS-01 challenge ,DNS API 操作受限还可以使用 acme-dns ,通过 CNAME 绕一下。
另外,业务证书监控还是要加一下。 |
![]() |
15
shenjinpeng 2024-03-22 16:32:02 +08:00
搞个面板管理网站, lets encrypt 自动续签 , 或者直接丢给 cloudflare 代理
|
![]() |
16
ETiV 2024-03-22 16:32:43 +08:00 via iPhone
云上的服务都有 API ,拿第一方的命令行工具(配合 jq )可以很方便的上传、替换证书的
|
![]() |
17
stimw 2024-03-22 16:33:51 +08:00
所以这玩意对云厂商来说成本高吗,为什么之前提供现在不提供
|
18
kilvn 2024-03-22 16:35:09 +08:00
1 、cf 15 年域名证书
2 、freessl 这种第三方的 3. acme 自动续期 |
![]() |
19
xiamy1314 2024-03-22 16:37:15 +08:00
acme 丢那自动续签去。
|
20
fresco 2024-03-22 17:08:56 +08:00
刚发现证书变 3 个月了,还好我有自动续签
|
![]() |
21
jackrebel 2024-03-22 17:19:39 +08:00
腾讯云还有 1 年的, 在控制台里面
|
![]() |
23
supuwoerc 2024-03-22 17:50:46 +08:00
吓出一身冷汗,突然想起来自己已经跑路去 vercel 了...
|
24
qa2080639 2024-03-22 17:59:05 +08:00
mark 很多项目用了证书是在代码里配置的 改成 3 个月太难受 https 证书应该是普及安全而不是云厂商的敛财工具
|
![]() |
25
isaced 2024-03-22 17:59:05 +08:00
目前痛点就是 CDN 上的证书得三个月跑上去手动更新一次,太麻烦了,是不是可以有什么工具自动通过 API 对接更新如阿里云/腾讯云的 CDN SSL 证书
|
![]() |
26
longsays 2024-03-22 18:02:24 +08:00 via Android
|
27
zzzzzzZ 2024-03-22 18:06:26 +08:00
圈内基本都改成 90 天,不是某一家,理由是短期安全+跟着谷歌搞
|
28
MoTao 2024-03-22 18:06:53 +08:00
腾讯云
免费 SSL 证书有效期由 12 个月调整至 3 个月。2024 年 4 月 25 日零点以后,在腾讯云申请的免费 SSL 证书有效期由 12 个月调整至 3 个月( 2024 年 4 月 25 日以前签发的证书有效期不变)。 |
![]() |
31
kincaid OP @stimw 这几家云厂商都是看上游脸色,比如腾讯的上游是亚信,阿里是天威好像
主要问题是他们没自己跟 CA 谈,要不其实一年免费证书还能拿到 |
![]() |
32
docx 2024-03-22 18:28:58 +08:00 via iPhone
都是 TrustAsia 下游自然都受影响,唯独区别是谁先谁后
|
![]() |
33
eber 2024-03-22 18:42:29 +08:00 via Android ![]() |
![]() |
34
eber 2024-03-22 18:46:16 +08:00 via Android
理论上 cdn 厂商支持 ssl 证书自动续签并不复杂,不知道什么原因某些厂商就是不支持😢
|
35
idontnowhat2say 2024-03-22 18:52:32 +08:00
谁来有空来搞个开源的工具,支持调用各种公有云的 api 接口,来替换 slb ,waf ,cdn 上的证书
|
![]() |
37
jim9606 2024-03-22 18:55:14 +08:00
这块的主流方向就是缩短有效期+ACME 自动续期,这算是 CA/B 论坛推的方向。
因为现有的 CRL/OCSP 不太符合业界发展方向,缩短有效期可以有效减少对这俩的依赖。 |
![]() |
39
shiny 2024-03-22 18:57:07 +08:00
@idontnowhat2say 之前想搞过,acme 的库做好了,UI 也做了一半,后来放弃了。生活所迫。
|
![]() |
40
JensenQian 2024-03-22 19:02:13 +08:00 via Android
要么 30 买个 alpha ssl 的一年通配符算了
要么 acme 三个月也不是不能用 |
![]() |
41
mytsing520 2024-03-22 19:14:12 +08:00
@eber
证书的自动化签发校验仅限 DV ,校验方式为 DNS 或验证文件。 DNS 的校验方法,一般只靠 CNAME 解析的 CDN 厂商是不具备条件的,而要像 CF 这样 NS 全接管的才行,而且通配符的证书是必须 DNS 校验。 至于验证文件模拟访问校验,CDN 厂商通过更改特定目录文件的方式自动更新,但这样一来会存在篡改客户网页内容的指控,这不是靠客户授权或证明的方式可以洗脱的。 综上,要么干,如果纠结页面篡改的问题,那就别干 |
![]() |
42
lichao 2024-03-22 19:35:33 +08:00
@mytsing520 貌似是这个道理,国内 CDN 厂商实操上基本都不是 NS 全接管的
|
![]() |
43
shiny 2024-03-22 19:56:11 +08:00
@mytsing520 像 fly.io 一样 cname 一个 _acme-challenge 开头的子域名就能自动颁发了
|
44
mozhizhu 2024-03-22 20:00:19 +08:00
谷歌在推强制 3 个月有效期的 ssl ,所以顺势而为
|
![]() |
45
kincaid OP @shiny cloudflare 的 SaaS 接入就是这种,不过这种如果你自己申请证书的时候就麻烦了,还有种可能在两个不同的 CDN 厂商
|
![]() |
47
vjnjc 2024-03-22 20:50:46 +08:00
请教一下,lets encrypt 和阿里云申请的证书有啥区别呀
用起来 lets encrypt 更爽啊,没有人工工作量 |
48
lcy630409 2024-03-22 20:59:24 +08:00 ![]() |
52
salmon5 2024-03-22 21:16:46 +08:00
3 个月证书,购买就能 1 年,根证书 15 年有效期才是最麻烦的。
https://www.v2ex.com/t/1016839 |
53
salmon5 2024-03-22 21:18:53 +08:00
CA/B 就是麻烦制造者。
|
54
Jirajine 2024-03-22 21:46:46 +08:00
@salmon5 #52 如果你不理解缩短证书有效期的意义,那么你的场景不适合用 tls,直接裸 http 明文或者自己硬编码 pre shared key 比较好。
|
![]() |
55
lianxiaoyi 2024-03-23 09:10:44 +08:00
@SilentOrFight 大佬,问一下,续签后还需要重新上传密钥 和私钥那些东西吗?因为很多证书都是在云平台使用。
|
![]() |
56
crocoBaby 2024-03-23 09:12:07 +08:00
幸好刚续了一年
|
![]() |
58
W4J1e 2024-03-23 11:01:52 +08:00
我的想法是:服务器上的由脚本或者面板续签,CDN 那边目前还提供一年期的证书,暂且用着吧。要是以后 CDN 那边也只最长三个月了,那就挺麻烦的。
|
![]() |
59
qgy18 2024-03-23 13:17:09 +08:00
@lcy630409 感谢你的代码,稍微改了下,已经跑在家里的树莓派上,非常满意。
https://gist.github.com/qgy18/c7b1d2b61377c9ea888cd90160b348b3 |
60
momooc 2024-03-23 14:13:39 +08:00 via Android
lego 试试
|
![]() |
61
SilentOrFight 2024-03-26 11:28:22 +08:00
@lianxiaoyi #55 这只是自己加一下后续脚本导出,自己手动上传
|