虽然标题说「生产可用」,但暂时还是仅限白名单用户,不过 LE 官方说很快会全面推出
IP 证书必须使用 shortlived 证书配置文件,这意味着
- 证书有效期为 160 小时 (大约是 6 天半)
- 证书通用名字段为空
- 不提供 TLS Client Auth EKU
同时你使用的 ACME 客户端必须支持设置 Profile 的功能,不显式指定 shortlived 配置文件的情况下无法申请 IP 证书
证书预览
12 条回复 • 2025-11-30 21:25:00 +08:00
 |
1
liuzimin 4 天前
没看懂。我们生产环境买商业证书,用长有效期来减少失效风险不就是其中一个考虑的点吗?为嘛这有效期这么短了却还是生产可用?
|
 |
2
ETiV 4 天前 via iPhone
|
 |
3
ZeroClover OP |
 |
4
NewYear 4 天前
@liuzimin #1
恰恰相反,缩短有效期让证书更加安全,浏览器正在推进新的安全要求,即将只支持 2 个月证书了,超长时间的会不被信任(事实上之前可以一次性用很多年的证书) 毕竟……泄露了也快失效,没法利用很久。 而 IP 证书的问题更麻烦,因为很多人持有一个 IP ,但并不是真的拥有这个 IP ,所以可用期限很短。(只是租用,手续上还是属于商家的) 再一个好处就是倒逼用户“自动化上 SSL 证书,确保安全不过期” |
 |
5
Showfom PRO  1
我们打包的 n.wtf 最新 1.29.3 也支持 nginx-acme 了
https://n.wtf/ https://github.com/nginx/nginx-acme 可以使用 nginx-acme 自动签发 IP 证书 |
 |
6
unused 4 天前
zerossl 签的是 3 个月的
|
 |
7
PluginsWorld 4 天前
https://ssl.plugins-world.cn/ 我做了自动化申请 ssl 和部署到多种云资源上的系统。目前来说感觉证书有效期缩短问题不大。
|
|
8
ZeroClover OP @unused ZeroSSL ACME 不支持 IP ,API 只能免费签 3 个证书
|
 |
9
PrinceofInj 3 天前
@NewYear 在所谓的安全上是不是舍本逐末了?既然担心泄露,两个月就安全了么?为什么不直接按会话签发证书呢?可以自动化部署就是可以缩短时效的理由么?
|
|
10
NewYear 3 天前
|
 |
11
AkinoKaedeChan 3 天前 via iPhone
等不及力,但是现在似乎感恩节休假
|
 |
12
nightwitch 3 天前
@PrinceofInj 纠结这个没有用了,主要浏览器已经达成一致了,只有按着头接受了
|
Select Language