使用 Let's Encrypt 自动部署证书,在 win7 下会提示证书不可用。好像是 win7 的根证书有问题,大家遇到过这种情况吗?怎么处理比较好?
1
shaojz2005 OP 很多帖子说的是让用户自己更新证书,但我想知道的是也没有办法在仍然使用 lets encrypt 的情况下,不需要用户做出更改可以解决的办法。毕竟你不一定能接触到用户的。
|
2
ly841000 2022-03-30 21:33:26 +08:00
不可以,没有办法,win7 系统更新到最新版本应该可用
@shaojz2005 |
3
timpaik 2022-03-30 21:37:42 +08:00 via Android
没办法改变用户的内置系统证书。win7 早已停止支持,估计也没系统更新帮你更新证书了。
|
4
CEBBCAT 2022-03-30 22:05:22 +08:00 via iPhone
可以加钱吗?找那些系统根证书里还没有过期的 CA ?或者我记得 Firefox 自带证书,推荐用户使用火狐?
或者 360 哈哈哈 |
5
nightwitch 2022-03-31 00:40:46 +08:00
让用户用自带有根证书的浏览器
|
6
Rocketer 2022-03-31 01:01:59 +08:00 via iPhone
Let’s Encrypt 的根早就过期了啊,现在是在玩一些 trick 以获得部分系统的支持,并不保险。
acme 默认都已经改用 Zero SSL 了,你也能换就换吧。 |
7
JensenQian 2022-03-31 01:20:13 +08:00 via Android 1
换证书 acme.sh 部署的话可以换成 zerossl,然后最近 trust asia 也整了个免费三个月泛域名证书,支持 acme,国内 ocsp,https://blog.freessl.cn/acme-quick-start/
|
8
shaojz2005 OP @JensenQian 感谢,但是感觉用别的证书,还是存在隐患,可能以后不能用
|
9
Showfom 2022-03-31 09:18:53 +08:00 2
@shaojz2005 #8 这话说的,你再过 10 年,Win 7 上所有的 CA 证书都到期了,你就啥都用不了了,还用 Win7 干啥呢
|
10
ruixue 2022-03-31 09:50:35 +08:00 1
目前来说换 zerossl 是个比较好的解决方案,同样的免费三个月,支持 acme ,支持泛域名,限制还比 let's encrypt 少,可选 ecc 证书链,中间证书 2030 年才到期,还支持 ip 证书,acme.sh 已经默认改用 zerossl 了
|
11
anjianshi 2022-03-31 09:58:35 +08:00
修正前面 Rocketer 的话。
1. Let's Encrypt 最早使用的根证书 "DST Root CA X3" 过期了,但他们有新的根证书 "ISRG Root X1" 详见这篇帖子: https://www.ohyee.cc/post/note_lets_encrypt 2. acme.sh 默认改用 zerossl ,有一部分原因是 zerossl 赞助了它。 详见这篇帖子下的评论: https://community.letsencrypt.org/t/the-acme-sh-will-change-default-ca-to-zerossl-on-august-1st-2021/144052 |
12
anjianshi 2022-03-31 10:00:01 +08:00
如果不需要老设备的支持,Let's Encrypt 依然是可信的。
|
13
3dwelcome 2022-03-31 10:13:53 +08:00
你的 win7 不是 sp2 吧,我这里没问题啊。
https://letsencrypt.org/docs/certificate-compatibility/ 这里写着只要是 winxp sp3 以上的,就会自动更新根证书。 你客户的 win7 ,可能是国内修改过的系统,手动关闭了 window update 的功能。( Windows 7 comes with a small list of trusted CAs installed but automatically imports CAs as necessary from the Microsoft Windows Update service ) |
14
chotow 2022-03-31 10:14:43 +08:00
最简单的方案是换 ZeroSSL ,虽然我个人不喜欢它。
对于 Windows ,更详细的解决方案可参见: https://docs.certifytheweb.com/docs/kb/kb-202109-letsencrypt/ Let’s Encrypt 现在用的默认链其实是过期 DST 交叉签 ISRG ,但这只是让低版本的 Android 可以继续用到 2024 年。我刚在虚拟机里的 Windows 7 试了下,最新版 Edge 、360 极速浏览器都正常,显示的根证书是 2015 年开始的 ISRG ,我也好奇为什么这个证书出现了( VMware Tools ?)。 |
15
Yusky 2022-03-31 13:33:08 +08:00
eeeeem , 买个收费的不舒服嘛。。。 也不贵啊
|
16
laozhoubuluo 2022-04-02 15:48:59 +08:00 1
@chotow Windows 支持根证书自动更新功能,除非这个功能被手动关闭或者 Windows Update 被关闭否则都会自动下载 ISRG 根。
|