吠品|使用Let's Encrypt免费证书的有哪些缺点?如何解决一、需要部署服务器环境二、证书有效期太短,只有90天三、证书兼容性不高四、苹果设备首次打开慢五、免费的证书不安全
_本文原题:使用Let's Encrypt免费证书的有哪些缺点?如何解决
使用Let's Encrypt免费证书的人越来越多 , 目前总结在使用这个免费的SSL证书遇到的最大的缺点 。 相关标题:Let's Encrypt证书申请 , Let's Encrypt被屏蔽 , letsencrypt续期 , letsencrypt多域名 , let's encrypt在线申请 , let's encrypt自动续期 。
一、需要部署服务器环境 Let's Encrypt提供了申请证书的API接口 , 大家根据这个API开发了各种工具辅助我们申请SSL证书 , 比如官方推荐的cerbot , 但是很多朋友看到命令行一大串配置参数就晕了 。 而且这些还要放在服务器上运行 , 与自己的web服务器配合使用 , 很多人也是用的虚拟主机 , 无法部署这样的环境 。
解决:
有很多平台提供了免费申请SSL证书的服务 , 简化了申请的步骤 , 可以让每个人只要有域名 , 就可以申请自己的SSL证书 。 比如sslforfree和来此加密 。
来此加密网站提供了界面化的操作 , 不需要部署申请环境 , 简化证书申请流程 , 平均10分钟就可以申请到证书 。
本文插图
二、证书有效期太短,只有90天 Let's Encrypt所有申请的免费SSL证书只有90天的有效期 , 需要频繁的续签 , 很麻烦 。 很多人都先直接拥有个3年的证书 , 跟买域名一样 , 这样就不需要维护了 。
可惜的是:如果你的SSL证书超过398天 , 苹果的电脑和手机将不再信任(2020年9月1日起) 。 也就是以后你再也买不到2年、3年的SSL证书了 , 各大平台提供了各种续签服务 , 通过工具帮你续签及部署到环境中 , 让你感觉到买了一个超过1年的证书 。
Let's Encrypt的证书虽然只有90天有效期 , 也是可以通过各种工具实现自动续签、自动部署的功能 。 实现这样的功能需要提供对应的API密钥等信息 , 如果提供了这样的信息 , 存在一定的安全风险 。
解决:
1、利用cerbot等工具部署到自己的服务器中 , 通过定时任务实现自动续签和部署 。
3、申请泛域名和多域名证书 , 一个证书包含多个域名 , 可以减少申请的次数 。
2、通过三方平台申请 。 如来此加密 , 可以申请多域名和泛域名证书 , 利用CNAME解析 , 提供给平台实现自动续签和验证 , 然后利用提供的api接口 , 将证书手动或半自动的部署到自己的服务器中 。
三、证书兼容性不高 Let’s Encrypt 尽力在不影响安全性的前提下与尽可能多的软件兼容 。 也就是目前目前绝大部分设备都是兼容可用的 。 如果在 Windows XP 等较旧的平台上遇到问题 , 最常见的原因是没有配置好该平台支持的加密算法套件或 TLS 版本 , 或者该平台不支持服务器名称指示(SNI) 。
也就是Let's Encrypt免费证书与其他大部分付费的证书兼容性是差不多的 。 一般不需要考虑兼容性问题 。
可以在官网查看证书兼容列表获取更多信息 。
四、苹果设备首次打开慢 主要是Let's Encrypt 验证有效性的 OSCP 域名被国内墙了 , 导致首次打开可能需要多等待5~10秒 , 这个问题本身其实与Let's Encrypt无关 , 如果非国内的用户 , 基本没有这方面的问题 。
然而通过OSCP方式验证域名有效性这个方案 , 在很早就被谷歌给否定了 , 认为这个方案本身就不安全 。 在Chrome和Firefox上 , 不会出现这个问题 。 只有在苹果设备上 , 会进行OSCP方式验证,就造成了首次打开慢 。
解决:
1、资金充裕的买付费的 , 一般不会出现这个问题 。 苹果设备仍然会进行OSCP验证 , 服务器如果没有被墙 , 访问会比较快 。
2、WEB服务器启用OCSP Stapling功能 , 让服务端缓存证书状态协议信息 , 无需再进行OSCP验证 。 该方案成根本上减少了一次请求 , 从根本上提高了用户访问速度 。 目前主流的CDN厂商和主流的WEB服务器都是支持OCSP装订 。分页标题
最低版本支持:Nginx1.3.7 , Apache 2.3.3
判断网站是否启用了功能 , 可以去myssl、ssllabs网站上检查 , 查看OCSP Stapling或者OCSP装订是不是“YES”
五、免费的证书不安全 Let's Encrypt 是一个由非营利性组织 互联网安全研究小组(ISRG)提供的免费、自动化和开放的证书颁发机构(CA) , 该项目得到了众多大公司和组织的支持 , 如谷歌、火狐、思科、EFF、facebook等等 。
证书本身是安全的 , 那么安全风险在哪呢?你的证书是怎么申请的!!
1、自己部署申请环境
申请泛域名证书需要进行DNS验证 , 就需要保存域名DNS解析的密钥 , 如果服务器被黑就会造成密钥泄露 , 导致域名被黑客利用 。
同时要选择那些开源的且用的人比较多的软件 , 这样不会留有后门 , 同时要注意一定是通过官方网站下载 。 申请软件首推cerbot , 这个也是官方推荐的 。
2、通过第三方平台申请
第三方平台提供了更为简单的申请操作 , 可以快速的申请的证书 。 申请证书时 , 需要验证域名 , 如果提供了域名DNS解析密钥 , 域名就有可能被他人利用 , 这点需要注意 。
其次 , 申请的证书有没有保存在三方平台的服务器中 , 比如有没有通过邮件发送证书 。
解决:
【吠品|使用Let's Encrypt免费证书的有哪些缺点?如何解决一、需要部署服务器环境二、证书有效期太短,只有90天三、证书兼容性不高四、苹果设备首次打开慢五、免费的证书不安全】来此加密网站 , 在提供快捷的申请功能的同时 , 也非常注重安全性 。 域名验证不需要提供相关接口密钥 , 由用户自行配置 。 同时证书下载后可以自行清除 , 不通过邮件发送 。
- 腾讯|9月20号后,iPhone还能不能使用微信?腾讯高管给出答案
- 电子身份证你用过没有?开通两月 4.6万余人次重庆市民使用登记住宿|电子身份证你用过没有?开通两月 4.6万余人次重庆市民使用登记住宿
- 央视新闻客户端|减少就医负担、个人账户使用范围扩大 你关心的医保改革都在这
- 古寨|云南一奇特古寨走红,至今使用象形文字,还保留“伙婚”习俗
- 扫地车|提升企业形象从使用工业扫地车开始
- Letme|“周董被王俊凯杀爆”LPL最搞笑明星赛诞生,伞皇泪目图火了
- 央视|减少门诊就医负担、个人账户使用范围扩大……解读医保改革
- iQOO手机|iQOO 5使用体验,性能铁三角出众,沉浸式游戏体验太赞了
- 电脑使用技巧|USB功能激活方法再不记住就OUT了?
- 减少门诊就医负担、个人账户使用范围扩大……你关心的医保改革都在这