一年多 Let’s Encrypt 的 SSL 证书使用有感

最新推荐文章于 2023-05-25 21:48:30 发布
最新推荐文章于 2023-05-25 21:48:30 发布
阅读量602 收藏
点赞数
分类专栏: 信息安全 证券公司IT 信息技术

一年多 Let’s Encrypt 的 SSL 证书使用有感
https://www.zhihu.com/search?type=content&q=Let's Encrypt
明月登楼
草根博客站长 imydl.com 擅长服务器部署、运维、网站建设等
又拍云

话说我把站点 HTTPS 的主要动力其实就是因为 Let’s Encrypt 的免费 SSL 证书,在网上开始流行 HTTPS 的时候明月就开始关注了,因为之前明月一直是 DNS 劫持等等手段的“重度”受害者,甚至站点因为各种“劫持”遭到百度降权的惩罚,所以明月一直很关注网站安全方面的技术,HTTPS 可以说是明月很迫切需要的。

因为最早使用的是虚拟主机,实现 HTTPS 在当时几乎是不可能的(那时候很多虚拟主机的面板都不支持 SSL 部署的),左思右想后果断迁移至阿里云 ECS 上,边用边学的运维实践开始了,等到有了一定的基础之后就开始考虑全部站点的 HTTPS 了,这时候其实已经关注 Let’s Encrypt 很久了都,当时选择 Let’s Encrypt 主要就是因为 Let’s Encrypt 的 SSL 证书申请获取方式比较适合自己的情况,加上后来又用上了 acme.sh 脚本(可参考【Linux 下使用 acme.sh 申请和管理 Let’s Encrypt 证书】)后基本上是彻底的被 Let’s Encrypt 被征服了。

很多站长对 Let’s Encrypt 最大的诟病就是其 SSL 证书有效期只有 90 天,90 天后需要手动(这里说“手动”其实不严谨了,现在通过脚本基本上都是自动智能续期了)的续期,甚至还有不少人说 Let’s Encrypt 的 SSL 证书获取、申请方式虽然另类方便,但也让各种钓鱼网站、违法网站获取使用 SSL 证书变的更方便了。其实持这些观点的人都是没有真正使用过 Let’s Encrypt 的,下面明月结合自己这一年多来使用 Let’s Encrypt 的经验给大家阐述一下:

其实 Let’s Encrypt 的这种申请、获取、续期方式明月感觉才是真正引领着未来 SSL 证书发展潮流,因为这种依托于服务器端的 SSL 证书申请和获取有一定的技术门槛,这就造成不适谁都可以随便的就获得网站 SSL 证书,加上是申请 SSL 证书的时候需要验证服务器端所有权和管理权,自然也就保证了 SSL 证书获取途径的唯一性和安全性,那怕上述都是虚假的在 90 天的时间里肯定也会暴露这个站点是否合法等情况,只需要拒绝续期就可以了,这样一来就将此类站点所带来的危害降低到了一定的范围时间段内,就算你是钓鱼网站你最多也就是使用三个月而已,然后你就有可能无法获取到 Let’s Encrypt 证书的续期了,甚至你的服务器都会被锁定屏蔽,再加上其他的技术手段锁定所有人也不是不可能。这也是为啥 Let’s Encrypt 官方都宣布过来钓鱼网站申请 Let’s Encrypt 证书数量和次数由高到低的浮动变化,相对于那种付费或者免费有效期 1-3 年的 SSL 证书来说 Let’s Encrypt 证书这方面的优势尤为明显,可以说是免费 SSL 证书里安全系数很高的 SSL 证书了。

至于很多站长们诟病的 90 天后需要“续期”这个,其实明月感觉没有那么麻烦,因为借助第三方的工具,在服务器端完全可以做到无人值守的自动续期,这一年以来明月都是这么过来的,没有出现过一次问题,唯一可能算是“麻烦”的就是使用 CDN 的时候需要在 CDN 后台里手动导入 Let’s Encrypt 的 SSL 证书,这个问题真不是 Let’s Encrypt 的问题,目前来看也没有很好的解决办法,除非大家使用 CDN 自带的 SSL 证书,这样一来可能就会面临服务器端和 CDN 端使用的是不同的 SSL 证书,好在这样的 HTTPS 主流浏览器都是支持的。其实 CDN 里导入 Let’s Encrypt 证书无非就是为了可以服务器端、 CDN 层面都使用免费的 SSL 证书而已,免费的嘛就不要在意这些细节了。再说对于“折腾”型的博客站长们来说,三个月的时间,折腾频繁的话弄不好服务器都恢复快照 N 次了都,又何必在乎 CDN 手动导入 SSL 证书的“麻烦”呢?

在使用 Hexo 搭建博客的时候,明月就发现国内的 coding 代码托管平台的静态网页空间支持 Let’s Encrypt 证书申请和使用,据说现在 GitHub 也已经支持 Let’s Encrypt 证书了,所以未来看 CDN 平台上支持 Let’s Encrypt 证书直接申请、获取、续期也不遥远了,至少明月直到又拍云 CDN 就已经支持 Let’s Encrypt 证书的自动申请、获取和使用了(说白了就是使用 Let’s Encrypt 的 SSL 证书在又拍云 CDN 部署上可以单独申请 Let’s Encrypt 来实现 CDN 层面的自动续期)。

综上所述,明月一直以来都认为 Let’s Encrypt 是草根博客站长们站点 SSL 证书的首选,单从现在各个主流浏览器对 Let’s Encrypt 证书的支持和兼容情况就可以看出 Let’s Encrypt 在 SSL 业界的地位了,免费的同时又有极高的兼容性、安全性不选择 Let’s Encrypt 选择啥呢?当然,土豪草根博客站长们可以无视了,跟收费的 SSL 证书比较目前 Let’s Encrypt 还是有些欠缺的,虽然欠缺主要表现在“公信度”上,不过,随着时间的推移和 SSL 的高普及率,Let’s Encrypt 在业界的地位一定会“水涨船高”的,到时候这些问题还能算是问题吗?

阅读材料:
iOS开发中的HTTPS :https://zhuanlan.zhihu.com/p/22749689

HTTPS系列干货(一):HTTPS 原理详解 :https://zhuanlan.zhihu.com/p/27395037

一篇文章为你深度解析HTTPS 协议 https://zhuanlan.zhihu.com/p/25430542
永久免费的SSL证书 - Let’s Encrypt 证书部署 HTTPS 并自动续期 https://ubock.com/article/25

songroom
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Letsencrypt SSL 证书过期问题
zgtabc的博客
10-08 2641
Letsencrypt SSL 证书过期问题 最近 Letsencrypt 的根证书 “DST Root CA X3” 过期导致一些设备出现问题。 目前 Letencrypt 有两个证书链: 证书链1: DST Root CA X3 (1) -> ISRG Root X1 (2) -> R3 (3) -> youside.com (4) 证书链2: ISRG Root X1 (5) -> R3 (3) -> youside.com (4) (1) 该证书已于2021年9月30
申请Let‘s Encrypt免费SSL证书、自动化续签证书
赵昕彧
06-08 4152
使用certbot工具能够很方便的申请和续签let’s encript证书。这里配置的是每周一 10点执行一次,根据个人需求更改配置即可。站点目录:html文件保存位置,只需要到文件夹即可。联系人email地址:填写自己的邮箱即可。3、加入命令(续签并重载nginx配置),如果没有安装Nginx则需要先安装。1、根据需求,选择下面两句话之一。5、可以查看一下证书有效期。6、配置Nginx(参考)2、安装 certbot。站点域名:购买的域名。2、加入crontab。4、申请成功后,会在。
阿里云SSL免费证书(1年)申请流程及宝塔证书替换教程
m0_56620724的博客
05-25 1009
平时大家都使用宝域名面板,申请SSL证书站点一键申请自动生成Let's Encrypt免费证书使用也很方便,唯一不好就是3个月有效期,有时忘了续签网站就打不开了,还有这证书360浏览不识别显示未认证状态,像一级域名站点需要宣传时就建议用阿里云的SSL证书,这问题就不会出现。有效期一年,到期后再申请,费用名额有10个。这里注意验证方式有两种,建议用手功DNS验证,文件验证有时候验证不了(一般是防火墙拦了)DNS验证很快。打开阿里云,找到“数字证书管理服务”进入,再找到左边菜单SSL证书,选择免费证书
linux let s证书续期,Let's Encrypt 的免费证书只有90天了么?以前貌似有一年的啊。...
weixin_42395823的博客
05-15 126
家里宽带的80/443端口被封了。为了给3322.org的动态域名生成证书,我还特意在海外的vps做了一个端口映射到宽带的444端口做验证,验证完再改回来。#!/bin/bashCertDate=`/root/getCertDate.py`if[[$CertDate==*"Renew"*]];thenecho"changemyddns.3322.orgArecordto45...
手把手教你获取一年免费通配符泛域名SSL证书
Toms Project的博客
02-25 1万+
如想获得最佳阅读体验,请访问:手把手教你白嫖一年免费通配符泛域名SSL证书! (前排提示:想白嫖OV,EV SSL 的朋友们还是放弃吧,目前不存在此类服务) 众所周知,SSL现已成为各种网站必不可少的配置了,但是主流的Let's EncryptLet's Encrypt),ZeroSSL(Free SSL Certificates and SSL Tools - ZeroSSL)等只能提供90天的免费SSL,而阿里云,华为云提供的每年20张一年期免费Encryption EverywhereDV...
hexo博客docker部署阿里云的一点心得
high32的博客
07-24 2527
1初衷: 自己的博客证书一直有问题,不管是宝塔里申请的Let‘s encrypt,还是阿里云的免费证书,于是想到部署上nginx配置,再用docker,多网站方便管理,就当学习了。 2思路: push代码到git触发action动作,docker build镜像到docker hub;配置好nginx,多域名分发;在阿里云上pull镜像,然后run。 3使用: hexo、git actions、docker/docker-compose、docker hub、nginx、阿里云 4过程: 1. docke
Let’s Encrypt免费SSL证书获取以及自动续签
08-03
Let’s Encrypt免费SSL证书获取以及自动续签,配合Nginx实测有效
Let's Encrypt官网一键式免费申请ssl证书脚本
08-30
Let's Encrypt官网一键式免费申请ssl证书脚本, 使用方法是放到linux环境下, 给出执行权限rwx即可 chmod -R 700 certbot-auto , 之后./certbot-auto执行, 过程中会让你选择apache(1)还是nginx(2), 之后还会让你输入...
Let's Encrypt证书申请
03-27
Let's Encrypt 证书申请 SSL证书 SSL 详细说明如何申请Let's Encrypt证书
privatecollaborator:使用免费的Let's Encrypt SSL证书安装私人Burp Collaborator的脚本
05-24
使用“让我们加密SSL证书”安装私人Burp Collaborator的脚本。 应该在(Ubuntu 18.04)上工作: 带有或不带有弹性IP的Amazon AWS EC2 VM。 具有或不具有浮动IP的DigitalOcean VM。 天蓝色。 只要VM具有公共IP,...
Python-另一个采用Rust开发的LetsEncrypt客户端和库
08-10
另一个采用Rust开发的Let's Encrypt客户端和库
自动获取Let's Encrypt的免费SSL证书
05-01
标题中的“自动获取Let's Encrypt的免费SSL证书”是指一种使用自动化工具来申请并安装Let's Encrypt提供的免费安全套接层(SSL证书的过程。Let's Encrypt是一个公共证书颁发机构,它提供免费的SSL/TLS证书,以促进...
申请Let‘s Encrypt永久免费SSL证书
栗少的博客
07-09 2万+
Let's Encrypt作为一个公共且免费SSL的项目逐渐被广大用户传播和使用,是由Mozilla、Cisco、Akamai、IdenTrust、EFF等组织人员发起,主要的目的也是为了推进网站从HTTP向HTTPS过度的进程,目前已经有越来越多的商家加入和赞助支持。 Let's Encrypt免费SSL证书的出现,也会对传统提供付费SSL证书服务的商家有不小的打击。到目前为止,Let's Encrypt获得IdenTrust交叉签名,这就是说可以应用且支持包括FireFox、Chrome在内的主流浏览
Let's Encrypt 证书有效期有多久?
osfipin note
04-13 1843
Let's Encrypt申请的证书有效期有几个月? 证书有效期为90天,精确的说2159个小时。 通过【来此加密】网站快速申请的letsencrypt证书。 有效期时间如何开始算的? Let's Encrypt 证书有效期不是以提交申请时开始计算的。 有效期是从首次下载证书内容为起始时间。证书地址为certificate定义的连接。 来此加密:通过网页申请Let’s Encryp...
全民https时代,Let's Encrypt免费SSL证书的申请及使用(Tomcat版)
热门推荐
柳峰的专栏
01-10 2万+
近几年,在浏览器厂商的强力推动下,HTTPS的使用率大增。据统计,Firefox加载的网页中启用HTTPS的占比为67%,谷歌搜索结果中HTTPS站点占比已达50%,HTTPS网站已获得浏览器和搜索引擎的共同青睐。据悉,浏览器开发商Mozilla,Google准备采取下一步措施:将所有的HTTP网站标记为不安全。 近两年,微信小程序也异常火爆,小程序相关话题频频在朋友圈刷屏。如果你想开发
Let’s Encrypt的免费SSL证书(续签)
煮酒闲谈
11-17 3413
oxo1 简介Let’s Encrypt是一个免费、自动化、开放的证书颁发机构,该项目得到了Mozilla基金会,Akamai以及思科等很多大型机构的支持。Let’s Encrypt发布的免费SSL证书能被许多浏览器信任,虽然申请的SSL/TLS证书只有3个月有效期,但是可以通过官方提供的工具自动续期,从而达到永久免费使用的目的。官网目前推荐的获取和安装方式是certbot,只需要简单运行一些命令并
Let’s Encrypt 免费SSL证书自动续期的方法
我挚爱桃子
01-25 2721
使用crontab自动续期 yum install vixie-cron crontabs //安装Crontab chkconfig crond on //设为开机自启动 service crond start //启动   crontab -l //查看crontab定时执行任务列表 crontab -e //添加crontab定时执行任务 0 3 1 * * /root/cer...
如何使用Let's Encrypt永久免费SSL证书
无效的博客
03-13 1万+
Let's Encrypt作为一个公共且免费SSL的项目逐渐被广大用户传播和使用,是由Mozilla、Cisco、Akamai、IdenTrust、EFF等组织人员发起,主要的目的也是为了推进网站从HTTP向HTTPS过度的进程,目前已经有越来越多的商家加入和赞助支持。 Let's Encrypt免费SSL证书的出现,也会对传统提供付费SSL证书服务的商家有不小的打击。到目前为止,Let's
申请Let's Encrypt永久免费SSL证书教程及常见问题
半僧
11-09 9814
1:安装Let's Encrypt脚本依赖环境:(这一部分可以跳过,因为官方提供的Let's Encrypt脚本会自动检测并安装,但是最好不要!)——————# Debian apt-get install git——————# CentOS 6 yum install centos-release-SCL && yum update yum install python27 scl enable
let's encrypt官网一键式免费申请ssl证书脚本
最新发布
09-04
let's encrypt是一个非盈利性质的机构,致力于提供免费的SSL证书服务,以促进整个互联网的安全性。在官网上,他们提供了一键式免费申请SSL证书的脚本,使得用户可以快速而简便地获取自己网站的SSL证书。 这个一键式免费申请SSL证书脚本的使用非常简单。首先,用户需要在自己的网站服务器上安装并配置好Certbot工具。Certbot是一个由let's encrypt官方开发的自动化工具,用于申请和更新SSL证书。 在安装和配置好Certbot之后,用户只需要在命令行中输入一条简单的指令,就可以申请自己网站的SSL证书了。具体指令如下: $ sudo certbot certonly --standalone -d <your_domain> 其中,“<your_domain>”替换为用户自己的域名。这条指令的作用是告诉Certbot以standalone模式运行,并申请一个新的证书,该证书将与用户输入的域名关联。 Certbot会自动与let's encrypt的服务器进行通信,验证用户所拥有的域名和服务器的控制权。一旦验证通过,Certbot就会生成一个有效期为90天的SSL证书,并将其保存在用户指定的位置。 用户可以根据自己的需要选择将证书文件保存到哪个目录,以及将其用于哪个Web服务器(例如Apache或Nginx)。 值得一提的是,这个一键式免费申请SSL证书脚本还支持自动续订证书的功能。Certbot会在证书即将过期之前自动执行更新过程,以确保用户的网站能够持续使用最新的SSL证书。 总之,let's encrypt官网提供的一键式免费申请SSL证书脚本极大地简化了证书申请和管理的过程,让网站拥有更安全可靠的加密通信。用户只需几个简单的步骤,就能轻松获得免费的SSL证书,提升网站的安全性和可信度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值