一年多 Let’s Encrypt 的 SSL 证书使用有感

2018-06-2113:09:00 28 896
摘要

综上所述,明月一直以来都认为Let’s Encrypt是草根博客站长们站点SSL证书的首选,单从现在各个主流浏览器对Let’s Encrypt证书的支持和兼容情况就可以看出Let’s Encrypt在SSL业界的地位了,免费的同时又有极高的兼容性、安全性不选择Let’s Encrypt选择啥呢?当然,土豪草根博客站长们可以无视了,跟收费的SSL证书比较目前Let’s Encrypt还是有些欠缺的,虽然欠缺主要表现在“公信度”上,不过,随着时间的推移和SSL的高普及率,Let’s Encrypt在业界的地位一定会“水涨船高”的,到时候这些问题还能算是问题吗?

话说我把站点 HTTPS 的主要动力其实就是因为 Let's Encrypt 的免费 SSL 证书,在网上开始流行 HTTPS 的时候明月就开始关注了,因为之前明月一直是 DNS 劫持等等手段的“重度”受害者,甚至站点因为各种“劫持”遭到百度降权的惩罚,所以明月一直很关注网站安全方面的技术,HTTPS 可以说是明月很迫切需要的。

一年多 Let's Encrypt 的 SSL 证书使用有感

因为最早使用的是虚拟主机,实现 HTTPS 在当时几乎是不可能的(那时候很多虚拟主机的面板都不支持 SSL 部署的),左思右想后果断迁移至阿里云 ECS 上,边用边学的运维实践开始了,等到有了一定的基础之后就开始考虑全部站点的 HTTPS 了,这时候其实已经关注 Let's Encrypt 很久了都,当时选择 Let's Encrypt 主要就是因为 Let's Encrypt 的 SSL 证书申请获取方式比较适合自己的情况,加上后来又用上了 acme.sh 脚本(可参考【Linux 下使用 acme.sh 申请和管理 Let’s Encrypt 证书】)后基本上是彻底的被 Let's Encrypt 被征服了。

一年多 Let's Encrypt 的 SSL 证书使用有感

很多站长对 Let's Encrypt 最大的诟病就是其 SSL 证书有效期只有 90 天,90 天后需要手动(这里说“手动”其实不严谨了,现在通过脚本基本上都是自动智能续期了)的续期,甚至还有不少人说 Let's Encrypt 的 SSL 证书获取、申请方式虽然另类方便,但也让各种钓鱼网站、违法网站获取使用 SSL 证书变的更方便了。其实持这些观点的人都是没有真正使用过 Let's Encrypt 的,下面明月结合自己这一年多来使用 Let's Encrypt 的经验给大家阐述一下:

一年多 Let's Encrypt 的 SSL 证书使用有感

其实 Let's Encrypt 的这种申请、获取、续期方式明月感觉才是真正引领着未来 SSL 证书发展潮流,因为这种依托于服务器端的 SSL 证书申请和获取有一定的技术门槛,这就造成不适谁都可以随便的就获得网站 SSL 证书,加上是申请 SSL 证书的时候需要验证服务器端所有权和管理权,自然也就保证了 SSL 证书获取途径的唯一性和安全性,那怕上述都是虚假的在 90 天的时间里肯定也会暴露这个站点是否合法等情况,只需要拒绝续期就可以了,这样一来就将此类站点所带来的危害降低到了一定的范围时间段内,就算你是钓鱼网站你最多也就是使用三个月而已,然后你就有可能无法获取到 Let's Encrypt 证书的续期了,甚至你的服务器都会被锁定屏蔽,再加上其他的技术手段锁定所有人也不是不可能。这也是为啥 Let's Encrypt 官方都宣布过来钓鱼网站申请 Let's Encrypt 证书数量和次数由高到低的浮动变化,相对于那种付费或者免费有效期 1-3 年的 SSL 证书来说 Let's Encrypt 证书这方面的优势尤为明显,可以说是免费 SSL 证书里安全系数很高的 SSL 证书了。

一年多 Let's Encrypt 的 SSL 证书使用有感

至于很多站长们诟病的 90 天后需要“续期”这个,其实明月感觉没有那么麻烦,因为借助第三方的工具,在服务器端完全可以做到无人值守的自动续期,这一年以来明月都是这么过来的,没有出现过一次问题,唯一可能算是“麻烦”的就是使用 CDN 的时候需要在 CDN 后台里手动导入 Let's Encrypt 的 SSL 证书,这个问题真不是 Let's Encrypt 的问题,目前来看也没有很好的解决办法,除非大家使用 CDN 自带的 SSL 证书,这样一来可能就会面临服务器端和 CDN 端使用的是不同的 SSL 证书,好在这样的 HTTPS 主流浏览器都是支持的。其实 CDN 里导入 Let's Encrypt 证书无非就是为了可以服务器端、 CDN 层面都使用免费的 SSL 证书而已,免费的嘛就不要在意这些细节了。再说对于“折腾”型的博客站长们来说,三个月的时间,折腾频繁的话弄不好服务器都恢复快照 N 次了都,又何必在乎 CDN 手动导入 SSL 证书的“麻烦”呢?

在使用 Hexo 搭建博客的时候,明月就发现国内的 coding 代码托管平台的静态网页空间支持 Let's Encrypt 证书申请和使用,据说现在 GitHub 也已经支持 Let's Encrypt 证书了,所以未来看 CDN 平台上支持 Let's Encrypt 证书直接申请、获取、续期也不遥远了,至少明月直到又拍云 CDN 就已经支持 Let's Encrypt 证书的自动申请、获取和使用了(说白了就是使用 Let's Encrypt 的 SSL 证书在又拍云 CDN 部署上可以单独申请 Let's Encrypt 来实现 CDN 层面的自动续期)。

综上所述,明月一直以来都认为 Let's Encrypt 是草根博客站长们站点 SSL 证书的首选,单从现在各个主流浏览器对 Let's Encrypt 证书的支持和兼容情况就可以看出 Let's Encrypt 在 SSL 业界的地位了,免费的同时又有极高的兼容性、安全性不选择 Let's Encrypt 选择啥呢?当然,土豪草根博客站长们可以无视了,跟收费的 SSL 证书比较目前 Let's Encrypt 还是有些欠缺的,虽然欠缺主要表现在“公信度”上,不过,随着时间的推移和 SSL 的高普及率,Let's Encrypt 在业界的地位一定会“水涨船高”的,到时候这些问题还能算是问题吗?

  • 博客公众号
  • 关注本博公众号
  • weinxin
  • 本博客小程序
  • 微信内浏览本博客
  • weinxin
明月登楼

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:28   其中:访客  16   博主  12

    • 白墨 1

      你好博主,在对博客加cdn的时候遇到了麻烦,谷歌无意间搜索到你这篇文章,对我启发很大,已经解决了我的问题,希望我能引用那句话已经说明出处进行了截图处理,望准许。 :mrgreen:

      • dhhhf 0

        用这个流量好像会有一定的损失,我本来5万多80很稳定的,用了之后半天少了5000ip

          • 明月登楼的博客 1

            @dhhhf 这个跟流量没有关系吧?没听说过SSL证书会影响流量的!建议你排查流量来源!这跟SSL证书真心没有关系,风马牛不相及的事儿!

              • qeehjjj 0

                @明月登楼的博客 我也很疑惑,但流量确实半天少了10%,网站排名都是没变化的,撤掉马上恢复了,我感觉可能是这个证书所在的服务器有些地区可能连接不上会影响访问

                  • 明月登楼的博客 1

                    @qeehjjj 证书如果不是CDN的一般都在你自己的服务器上的,估计你这是搜索引擎收录的时候HTTPS替换不完整造成的,要是百度的话可以理解,百度的水平太次了!

                      • 15587487 0

                        @明月登楼的博客 我是用宝塔申请的,不知道是不是在本地,百度反应还是挺快的,半小时就替换了,即使不完整,老连接也会跳转,不至于流量损失的啊

                        • 明月登楼 明月登楼 博主

                          @15587487 一般HTTPS后收录和索引都会有变化的,甚至会出现死链,搜索引擎的识别分析技术是关键!就百度的尿性,我感觉问题就出在百度身上!

                      • 131mm 3

                        @明月登楼的博客 有关的。确实是有不少用户是打不开的。

                      • 131mm 3

                        @dhhhf 其实这个问题我知道,博主可能不知道,所以解析不清楚。按照目前我们的大环境来看,你用了https后流量减少那是肯定的。不过也得看你的tls 的级别。用到1.2以上,排除1.2以下的话,那么你将排除国内所有xp系统,win2003系统以及低版本的ie浏览器和谷歌浏览器在内的用户了。他们是无法打开你的站的。

                          • 明月登楼 明月登楼 博主

                            @131mm 放弃就放弃吧,还在用这些系统和IE的用户你感觉会是我网站的用户吗?

                        • 涂红伟 1

                          acme.sh和certbot都要可以实现let’s encrypt自动签证续期很方便。

                          • 大伟哥博客 3

                            Let’s Encrypt确实良心好东西,免费不说,使用起来也很方便,我现在所有的网站都用上了。

                            • 今天头条 1

                              文章不错非常喜欢

                              • qq昵称大全 6

                                明月,熊掌号是可以更改域名的,官方这么说:熊掌号过了新手不支持更改域名。但如果要改,要把原来的站点与熊掌号解绑,然后在百度后台验证新站点,最后绑定熊掌号,完成。

                                • 路易大叔 6

                                  简直是业界良心了

                                  • boke112导航 8

                                    Let’s Encrypt证书还是非常不错的,免费,而且还支持通配符,这两个大招真的非常牛。

                                      • 明月登楼 明月登楼 博主

                                        @boke112导航 呵呵,Let’s Encrypt绝对是未来SSL的领航者!绝不仅仅是普及HTTPS这么简单!

                                      • 蒲公英 3

                                        我现在用的是腾讯免费的证书,等到期后可以换这个试一试,就是不知道好换不 :shock: