Let's Encrypt IP 证书现已生产可用

没看懂。我们生产环境买商业证书，用长有效期来减少失效风险不就是其中一个考虑的点吗？为嘛这有效期这么短了却还是生产可用？

@liuzimin
生产可用可以理解为他们 LE 的 API 稳定了，不是指你的生产环境。

我倒是好奇国内域名不备案直接 sni 阻断的当下环境，对 IP 证书会怎么处理…

@liuzimin 说的是在生产 Endpoint 上可用

另外从明年开始不管你商业证书还是 LE 都开始削减有效期，一直削减到 47 天

@liuzimin #1

恰恰相反，缩短有效期让证书更加安全，浏览器正在推进新的安全要求，即将只支持 2 个月证书了，超长时间的会不被信任（事实上之前可以一次性用很多年的证书）

毕竟……泄露了也快失效，没法利用很久。


而 IP 证书的问题更麻烦，因为很多人持有一个 IP ，但并不是真的拥有这个 IP ，所以可用期限很短。（只是租用，手续上还是属于商家的）


再一个好处就是倒逼用户“自动化上 SSL 证书，确保安全不过期”

我们打包的 n.wtf 最新 1.29.3 也支持 nginx-acme 了

https://n.wtf/
https://github.com/nginx/nginx-acme

可以使用 nginx-acme 自动签发 IP 证书

zerossl 签的是 3 个月的

https://ssl.plugins-world.cn/ 我做了自动化申请 ssl 和部署到多种云资源上的系统。目前来说感觉证书有效期缩短问题不大。

@unused ZeroSSL ACME 不支持 IP ，API 只能免费签 3 个证书

@NewYear 在所谓的安全上是不是舍本逐末了?既然担心泄露，两个月就安全了么?为什么不直接按会话签发证书呢?可以自动化部署就是可以缩短时效的理由么?

@PrinceofInj #9

迟了，兄弟。

如果你知道的早一点，直接入职到谷歌公司，逐步拿到话语权，就能在十年前把这个技术方向打回去。

现在时代已经变了，你想再往回走，不可能了。

等不及力，但是现在似乎感恩节休假

@PrinceofInj 纠结这个没有用了，主要浏览器已经达成一致了，只有按着头接受了