一年多 Let’s Encrypt 的 SSL 证书使用有感

2018-06-2113:09:00 31 1,495
摘要

综上所述,明月一直以来都认为Let’s Encrypt是草根博客站长们站点SSL证书的首选,单从现在各个主流浏览器对Let’s Encrypt证书的支持和兼容情况就可以看出Let’s Encrypt在SSL业界的地位了,免费的同时又有极高的兼容性、安全性不选择Let’s Encrypt选择啥呢?当然,土豪草根博客站长们可以无视了,跟收费的SSL证书比较目前Let’s Encrypt还是有些欠缺的,虽然欠缺主要表现在“公信度”上,不过,随着时间的推移和SSL的高普及率,Let’s Encrypt在业界的地位一定会“水涨船高”的,到时候这些问题还能算是问题吗?

话说我把站点 HTTPS 的主要动力其实就是因为 Let's Encrypt 的免费 SSL 证书,在网上开始流行 HTTPS 的时候明月就开始关注了,因为之前明月一直是 DNS 劫持等等手段的“重度”受害者,甚至站点因为各种“劫持”遭到百度降权的惩罚,所以明月一直很关注网站安全方面的技术,HTTPS 可以说是明月很迫切需要的。

因为最早使用的是虚拟主机,实现 HTTPS 在当时几乎是不可能的(那时候很多虚拟主机的面板都不支持 SSL 部署的),左思右想后果断迁移至阿里云 ECS 上,边用边学的运维实践开始了,等到有了一定的基础之后就开始考虑全部站点的 HTTPS 了,这时候其实已经关注 Let's Encrypt 很久了都,当时选择 Let's Encrypt 主要就是因为 Let's Encrypt 的 SSL 证书申请获取方式比较适合自己的情况,加上后来又用上了 acme.sh 脚本(可参考【Linux 下使用 acme.sh 申请和管理 Let’s Encrypt 证书】)后基本上是彻底的被 Let's Encrypt 被征服了。

很多站长对 Let's Encrypt 最大的诟病就是其 SSL 证书有效期只有 90 天,90 天后需要手动(这里说“手动”其实不严谨了,现在通过脚本基本上都是自动智能续期了)的续期,甚至还有不少人说 Let's Encrypt 的 SSL 证书获取、申请方式虽然另类方便,但也让各种钓鱼网站、违法网站获取使用 SSL 证书变的更方便了。其实持这些观点的人都是没有真正使用过 Let's Encrypt 的,下面明月结合自己这一年多来使用 Let's Encrypt 的经验给大家阐述一下:

其实 Let's Encrypt 的这种申请、获取、续期方式明月感觉才是真正引领着未来 SSL 证书发展潮流,因为这种依托于服务器端的 SSL 证书申请和获取有一定的技术门槛,这就造成不适谁都可以随便的就获得网站 SSL 证书,加上是申请 SSL 证书的时候需要验证服务器端所有权和管理权,自然也就保证了 SSL 证书获取途径的唯一性和安全性,那怕上述都是虚假的在 90 天的时间里肯定也会暴露这个站点是否合法等情况,只需要拒绝续期就可以了,这样一来就将此类站点所带来的危害降低到了一定的范围时间段内,就算你是钓鱼网站你最多也就是使用三个月而已,然后你就有可能无法获取到 Let's Encrypt 证书的续期了,甚至你的服务器都会被锁定屏蔽,再加上其他的技术手段锁定所有人也不是不可能。这也是为啥 Let's Encrypt 官方都宣布过来钓鱼网站申请 Let's Encrypt 证书数量和次数由高到低的浮动变化,相对于那种付费或者免费有效期 1-3 年的 SSL 证书来说 Let's Encrypt 证书这方面的优势尤为明显,可以说是免费 SSL 证书里安全系数很高的 SSL 证书了。

至于很多站长们诟病的 90 天后需要“续期”这个,其实明月感觉没有那么麻烦,因为借助第三方的工具,在服务器端完全可以做到无人值守的自动续期,这一年以来明月都是这么过来的,没有出现过一次问题,唯一可能算是“麻烦”的就是使用 CDN 的时候需要在 CDN 后台里手动导入 Let's Encrypt 的 SSL 证书,这个问题真不是 Let's Encrypt 的问题,目前来看也没有很好的解决办法,除非大家使用 CDN 自带的 SSL 证书,这样一来可能就会面临服务器端和 CDN 端使用的是不同的 SSL 证书,好在这样的 HTTPS 主流浏览器都是支持的。其实 CDN 里导入 Let's Encrypt 证书无非就是为了可以服务器端、 CDN 层面都使用免费的 SSL 证书而已,免费的嘛就不要在意这些细节了。再说对于“折腾”型的博客站长们来说,三个月的时间,折腾频繁的话弄不好服务器都恢复快照 N 次了都,又何必在乎 CDN 手动导入 SSL 证书的“麻烦”呢?

在使用 Hexo 搭建博客的时候,明月就发现国内的 coding 代码托管平台的静态网页空间支持 Let's Encrypt 证书申请和使用,据说现在 GitHub 也已经支持 Let's Encrypt 证书了,所以未来看 CDN 平台上支持 Let's Encrypt 证书直接申请、获取、续期也不遥远了,至少明月直到又拍云 CDN 就已经支持 Let's Encrypt 证书的自动申请、获取和使用了(说白了就是使用 Let's Encrypt 的 SSL 证书在又拍云 CDN 部署上可以单独申请 Let's Encrypt 来实现 CDN 层面的自动续期)。

综上所述,明月一直以来都认为 Let's Encrypt 是草根博客站长们站点 SSL 证书的首选,单从现在各个主流浏览器对 Let's Encrypt 证书的支持和兼容情况就可以看出 Let's Encrypt 在 SSL 业界的地位了,免费的同时又有极高的兼容性、安全性不选择 Let's Encrypt 选择啥呢?当然,土豪草根博客站长们可以无视了,跟收费的 SSL 证书比较目前 Let's Encrypt 还是有些欠缺的,虽然欠缺主要表现在“公信度”上,不过,随着时间的推移和 SSL 的高普及率,Let's Encrypt 在业界的地位一定会“水涨船高”的,到时候这些问题还能算是问题吗?

  • 打赏明月一下下
  • 多谢您的赞赏!
  • weinxin
  • 本博客小程序
  • 微信内浏览本博客
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:31   其中:访客  18   博主  13

    • 烟凡·古楼 3

      一直在用,好用! :wink: