估计以后免费证书应该是 ACME 的天下了
1
Alwaysonline 244 天前
|
2
kincaid OP @Alwaysonline 这个确实,我原来 20 多个域名,现在扔的只剩 11 个了
|
3
daimaosix 244 天前
是的,三个月就很麻烦,现在用的 ACME
|
4
SilentOrFight 244 天前
用 acme 脚本自动续签呗~
|
5
kincaid OP @SilentOrFight 服务器倒是不是问题,主要是 CDN 这种云资源
|
6
lichao 244 天前 via iPhone
腾讯云 ssl 还是一年
|
7
mytsing520 244 天前 1
三个月是 CA 厂商根据权威组织要求做的变更
|
9
lstz 244 天前 via Android
3 个月的证书,挺麻烦,有自动更新 SSL 证书的工具箱就好了
|
10
lichao 244 天前 via iPhone
@mytsing520 目前的硬性要求是不超过 12-13 个月,3 个月应该只是建议
|
11
dodakt 244 天前
|
12
dier 244 天前
而且每年还限 20 个,所以 K8S 上已经改成用 cert-manager 来自动申请了,还省得我临期要去更新
|
13
810244966 244 天前
华为云有免费的一年的
|
14
anubu 244 天前
cert-manager/caddy/traefik 可以用起来了,公网可以访问 80 和 443 的话,使用 HTTP-01 challenge 还是挺简单的。访问端口受限可以使用 DNS-01 challenge ,DNS API 操作受限还可以使用 acme-dns ,通过 CNAME 绕一下。
另外,业务证书监控还是要加一下。 |
15
shenjinpeng 244 天前
搞个面板管理网站, lets encrypt 自动续签 , 或者直接丢给 cloudflare 代理
|
16
ETiV 244 天前 via iPhone
云上的服务都有 API ,拿第一方的命令行工具(配合 jq )可以很方便的上传、替换证书的
|
17
stimw 244 天前
所以这玩意对云厂商来说成本高吗,为什么之前提供现在不提供
|
18
kilvn 244 天前
1 、cf 15 年域名证书
2 、freessl 这种第三方的 3. acme 自动续期 |
19
xiamy1314 244 天前
acme 丢那自动续签去。
|
20
fresco 244 天前
刚发现证书变 3 个月了,还好我有自动续签
|
21
jackrebel 244 天前
腾讯云还有 1 年的, 在控制台里面
|
23
supuwoerc 244 天前
吓出一身冷汗,突然想起来自己已经跑路去 vercel 了...
|
24
qa2080639 244 天前
mark 很多项目用了证书是在代码里配置的 改成 3 个月太难受 https 证书应该是普及安全而不是云厂商的敛财工具
|
25
isaced 244 天前
目前痛点就是 CDN 上的证书得三个月跑上去手动更新一次,太麻烦了,是不是可以有什么工具自动通过 API 对接更新如阿里云/腾讯云的 CDN SSL 证书
|
27
zzzzzzZ 244 天前
圈内基本都改成 90 天,不是某一家,理由是短期安全+跟着谷歌搞
|
28
MoTao 244 天前
腾讯云
免费 SSL 证书有效期由 12 个月调整至 3 个月。2024 年 4 月 25 日零点以后,在腾讯云申请的免费 SSL 证书有效期由 12 个月调整至 3 个月( 2024 年 4 月 25 日以前签发的证书有效期不变)。 |
32
docx 244 天前 via iPhone
都是 TrustAsia 下游自然都受影响,唯独区别是谁先谁后
|
33
eber 243 天前 via Android 1
|
34
eber 243 天前 via Android
理论上 cdn 厂商支持 ssl 证书自动续签并不复杂,不知道什么原因某些厂商就是不支持😢
|
35
idontnowhat2say 243 天前
谁来有空来搞个开源的工具,支持调用各种公有云的 api 接口,来替换 slb ,waf ,cdn 上的证书
|
37
jim9606 243 天前
这块的主流方向就是缩短有效期+ACME 自动续期,这算是 CA/B 论坛推的方向。
因为现有的 CRL/OCSP 不太符合业界发展方向,缩短有效期可以有效减少对这俩的依赖。 |
39
shiny 243 天前
@idontnowhat2say 之前想搞过,acme 的库做好了,UI 也做了一半,后来放弃了。生活所迫。
|
40
JensenQian 243 天前 via Android
要么 30 买个 alpha ssl 的一年通配符算了
要么 acme 三个月也不是不能用 |
41
mytsing520 243 天前
@eber
证书的自动化签发校验仅限 DV ,校验方式为 DNS 或验证文件。 DNS 的校验方法,一般只靠 CNAME 解析的 CDN 厂商是不具备条件的,而要像 CF 这样 NS 全接管的才行,而且通配符的证书是必须 DNS 校验。 至于验证文件模拟访问校验,CDN 厂商通过更改特定目录文件的方式自动更新,但这样一来会存在篡改客户网页内容的指控,这不是靠客户授权或证明的方式可以洗脱的。 综上,要么干,如果纠结页面篡改的问题,那就别干 |
42
lichao 243 天前
@mytsing520 貌似是这个道理,国内 CDN 厂商实操上基本都不是 NS 全接管的
|
43
shiny 243 天前
@mytsing520 像 fly.io 一样 cname 一个 _acme-challenge 开头的子域名就能自动颁发了
|
44
mozhizhu 243 天前
谷歌在推强制 3 个月有效期的 ssl ,所以顺势而为
|
47
vjnjc 243 天前
请教一下,lets encrypt 和阿里云申请的证书有啥区别呀
用起来 lets encrypt 更爽啊,没有人工工作量 |
48
lcy630409 243 天前 1
|
52
salmon5 243 天前
3 个月证书,购买就能 1 年,根证书 15 年有效期才是最麻烦的。
https://www.v2ex.com/t/1016839 |
53
salmon5 243 天前
CA/B 就是麻烦制造者。
|
54
Jirajine 243 天前
@salmon5 #52 如果你不理解缩短证书有效期的意义,那么你的场景不适合用 tls,直接裸 http 明文或者自己硬编码 pre shared key 比较好。
|
55
lianxiaoyi 243 天前
@SilentOrFight 大佬,问一下,续签后还需要重新上传密钥 和私钥那些东西吗?因为很多证书都是在云平台使用。
|
56
crocoBaby 243 天前
幸好刚续了一年
|
58
W4J1e 243 天前
我的想法是:服务器上的由脚本或者面板续签,CDN 那边目前还提供一年期的证书,暂且用着吧。要是以后 CDN 那边也只最长三个月了,那就挺麻烦的。
|
59
qgy18 243 天前
@lcy630409 感谢你的代码,稍微改了下,已经跑在家里的树莓派上,非常满意。
https://gist.github.com/qgy18/c7b1d2b61377c9ea888cd90160b348b3 |
60
momooc 243 天前 via Android
lego 试试
|
61
SilentOrFight 240 天前
@lianxiaoyi #55 这只是自己加一下后续脚本导出,自己手动上传
|