这是一个创建于 707 天前的主题,其中的信息可能已经有所发展或是发生改变。
估计以后免费证书应该是 ACME 的天下了
 | 1 Alwaysonline 2024 年 3 月 22 日  阿里云变 3 个月后,迟早的事情。1 、搞个泛域名证书,以前的必须用的,直接改子域名。 2 、乱七八糟的后缀域名,不“传家”了,直接丢了。 |
 | 2 kincaid OP PRO @Alwaysonline 这个确实,我原来 20 多个域名,现在扔的只剩 11 个了 |
 | 3 daimaosix 2024 年 3 月 22 日 是的,三个月就很麻烦,现在用的 ACME |
 | 4 SilentOrFight 2024 年 3 月 22 日 用 acme 脚本自动续签呗~ |
| 5 kincaid OP PRO @SilentOrFight 服务器倒是不是问题,主要是 CDN 这种云资源 |
 | 6 lichao 2024 年 3 月 22 日 via iPhone 腾讯云 ssl 还是一年 |
 | 7 mytsing520 PRO  1 三个月是 CA 厂商根据权威组织要求做的变更 |
 | 9 lstz 2024 年 3 月 22 日 via Android 3 个月的证书,挺麻烦,有自动更新 SSL 证书的工具箱就好了 |
| 10 lichao 2024 年 3 月 22 日 via iPhone @mytsing520 目前的硬性要求是不超过 12-13 个月,3 个月应该只是建议 |
 | 11 dodakt 2024 年 3 月 22 日  腾讯云还是 不过估计也快了 | /tr>
 | 12 dier 2024 年 3 月 22 日 而且每年还限 20 个,所以 K8S 上已经改成用 cert-manager 来自动申请了,还省得我临期要去更新 |
 | 13 810244966 2024 年 3 月 22 日 华为云有免费的一年的 |
 | 14 anubu 2024 年 3 月 22 日 cert-manager/caddy/traefik 可以用起来了,公网可以访问 80 和 443 的话,使用 HTTP-01 challenge 还是挺简单的。访问端口受限可以使用 DNS-01 challenge ,DNS API 操作受限还可以使用 acme-dns ,通过 CNAME 绕一下。 另外,业务证书监控还是要加一下。 |
 | 15 urlk 2024 年 3 月 22 日 搞个面板管理网站, lets encrypt 自动续签 , 或者直接丢给 cloudflare 代理 |
 | 16 ETiV 2024 年 3 月 22 日 via iPhone 云上的服务都有 API ,拿第一方的命令行工具(配合 jq )可以很方便的上传、替换证书的 |
 | 17 stimw 2024 年 3 月 22 日 所以这玩意对云厂商来说成本高吗,为什么之前提供现在不提供 |
 | 18 kilvn 2024 年 3 月 22 日 1 、cf 15 年域名证书 2 、freessl 这种第三方的 3. acme 自动续期 |
 | 19 xiamy1314 2024 年 3 月 22 日 acme 丢那自动续签去。 |
 | 20 fresco 2024 年 3 月 22 日 刚发现证书变 3 个月了,还好我有自动续签 |
 | 21 jackrebel 2024 年 3 月 22 日 腾讯云还有 1 年的, 在控制台里面 |
 | 23 supuwoerc 2024 年 3 月 22 日 吓出一身冷汗,突然想起来自己已经跑路去 vercel 了... |
 | 24 qa2080639 2024 年 3 月 22 日 mark 很多项目用了证书是在代码里配置的 改成 3 个月太难受 https 证书应该是普及安全而不是云厂商的敛财工具 |
 | 25 isaced 2024 年 3 月 22 日 目前痛点就是 CDN 上的证书得三个月跑上去手动更新一次,太麻烦了,是不是可以有什么工具自动通过 API 对接更新如阿里云/腾讯云的 CDN SSL 证书 |
 | 26 longsays 2024 年 3 月 22 日 via Android |
 | 27 zzzzzzZ 2024 年 3 月 22 日 圈内基本都改成 90 天,不是某一家,理由是短期安全+跟着谷歌搞 |
 | 28 MoTao 2024 年 3 月 22 日 腾讯云 免费 SSL 证书有效期由 12 个月调整至 3 个月。2024 年 4 月 25 日零点以后,在腾讯云申请的免费 SSL 证书有效期由 12 个月调整至 3 个月( 2024 年 4 月 25 日以前签发的证书有效期不变)。 |
| 31 kincaid OP PRO @stimw 这几家云厂商都是看上游脸色,比如腾讯的上游是亚信,阿里是天威好像 主要问题是他们没自己跟 CA 谈,要不其实一年免费证书还能拿到 |
 | 32 docx 2024 年 3 月 22 日 via iPhone 都是 TrustAsia 下游自然都受影响,唯独区别是谁先谁后 |
 | 33 eber 2024 年 3 月 22 日 via Android 1 |
| 34 eber 2024 年 3 月 22 日 via Android 理论上 cdn 厂商支持 sl 证书自动续签并不复杂,不知道什么原因某些厂商就是不支持 |
 | 35 idontnowhat2say 2024 年 3 月 22 日 谁来有空来搞个开源的工具,支持调用各种公有云的 api 接口,来替换 slb ,waf ,cdn 上的证书 |
 | 37 jim9606 2024 年 3 月 22 日 这块的主流方向就是缩短有效期+ACME 自动续期,这算是 CA/B 论坛推的方向。 因为现有的 CRL/OCSP 不太符合业界发展方向,缩短有效期可以有效减少对这俩的依赖。 |
 | 39 shiny PRO @idontnowhat2say 之前想搞过,acme 的库做好了,UI 也做了一半,后来放弃了。生活所迫。 |
 | 40 JensenQian 2024 年 3 月 22 日 via Android 要么 30 买个 alpha ssl 的一年通配符算了 要么 acme 三个月也不是不能用 |
| 41 mytsing520 PRO @eber 证书的自动化签发校验仅限 DV ,校验方式为 DNS 或验证文件。 DNS 的校验方法,一般只靠 CNAME 解析的 CDN 厂商是不具备条件的,而要像 CF 这样 NS 全接管的才行,而且通配符的证书是必须 DNS 校验。 至于验证文件模拟访问校验,CDN 厂商通过更改特定目录文件的方式自动更新,但这样一来会存在篡改客户网页内容的指控,这不是靠客户授权或证明的方式可以洗脱的。 综上,要么干,如果纠结页面篡改的问题,那就别干 |
| 42 lichao 2024 年 3 月 22 日 @mytsing520 貌似是这个道理,国内 CDN 厂商实操上基本都不是 NS 全接管的 |
| 43 shiny PRO @mytsing520 像 fly.io 一样 cname 一个 _acme-challenge 开头的子域名就能自动颁发了 |
 | 44 mozhizhu 2024 年 3 月 22 日 谷歌在推强制 3 个月有效期的 ssl ,所以顺势而为 |
| 45 kincaid OP PRO @shiny cloudflare 的 SaaS 接入就是这种,不过这种如果你自己申请证书的时候就麻烦了,还有种可能在两个不同的 CDN 厂商 |
 | 47 vjnjc 2024 年 3 月 22 日 请教一下,lets encrypt 和阿里云申请的证书有啥区别呀 用起来 lets encrypt 更爽啊,没有人工工作量 |
 | 48 lcy630409 2024 年 3 月 22 日 1 |
 | 53 salmon5 2024 年 3 月 22 日 CA/B 就是麻烦制造者。 |
 | 54 Jirajine 2024 年 3 月 22 日 @salmon5 #52 如果你不理解缩短证书有效期的意义,那么你的场景不适合用 tls,直接裸 http 明文或者自己硬编码 pre shared key 比较好。 |
 | 55 lianxiaoyi 2024 年 3 月 23 日 @SilentOrFight 大佬,问一下,续签后还需要重新上传密钥 和私钥那些东西吗?因为很多证书都是在云平台使用。 |
 | 56 crocoBaby 2024 年 3 月 23 日 幸好刚续了一年 |
 | 58 W4J1e 2024 年 3 月 23 日 我的想法是:服务器上的由脚本或者面板续签,CDN 那边目前还提供一年期的证书,暂且用着吧。要是以后 CDN 那边也只最长三个月了,那就挺麻烦的。 |
 | 59 qgy18 2024 年 3 月 23 日 @lcy630409 感谢你的代码,稍微改了下,已经跑在家里的树莓派上,非常满意。 https://gist.github.com/qgy18/c7b1d2b61377c9ea888cd90160b348b3 |
 | 60 momooc 2024 年 3 月 23 日 via Android lego 试试 |
| 61 SilentOrFight 2024 年 3 月 26 日 @lianxiaoyi #55 这只是自己加一下后续脚本导出,自己手动上传 |
Select Language