Let’s Encrypt 使用吐槽

2015-12-04 16:34:14 +08:00
 Daniel65536
[Let ’ s Encrypt]( http://letsencrypt.org) 公测了,实验了下吐槽如下:

1. 这个项目由两个部分组成,一个是他们管理的 acme-server ,负责认证与签发证书,另一个是他们提供的 acme-client ,用来申请证书,也就是那个他们要你实际在服务器上安装运行的程序。

2. 他们提供的 client 很蠢,我只想要一个证书申请工具,却给我来了个全家桶,一堆依赖,占用 80 端口帮你搞认证,还提供个什么鬼自动修改你的 apache/nginx 配置帮你安装证书。支持的认证方式多,然而并没有什么卯月,最实用的还是 http-01 认证,也就是丢个文件到你的网站底下。

3. https://github.com/diafygi/acme-tiny 这才是你真正需要的 acme-client ,只干申请证书这一件事的脚本, 200 行,无 python 和 openssl 以外的依赖。这个脚本就干了 3 件事:向 acme-server 请求进行认证,把认证文件丢在网站根目录下来证明你拥有这个网站,下载通过认证后签好的证书。

4. 在使用了这个实用的脚本后,申请 ssl 证书被简化成了 1 分钟就能完成的事情,确实方便。
23960 次点击
所在节点    SSL
57 条回复
tcdw
2015-12-05 10:16:55 +08:00
@HowardMei 我注意过,三层,分别是自己的证书、 Let's Encrypt 的中级证书和 DST 的根证书。
看上去效力跟 Comodo 单域名的差不多。
Demo: https://tucaoda.wang
HowardMei
2015-12-05 10:27:46 +08:00
@tcdw 谢谢,把你的证书和我买的比了一下, Comodo 单域名被秒杀,不免费还多一层 xD
mengzhuo
2015-12-05 10:28:57 +08:00
@pupboss

ECC 比 RSA 好不止 30%

https://mengzhuo.org/OpenSSL-TLS-cipher%E6%80%A7%E8%83%BD%E6%A8%AA%E5%90%91%E5%AF%B9%E6%AF%94.html
pupboss
2015-12-05 11:19:02 +08:00
@mengzhuo 受教了,请教一个业余的问题 = =加密 ciphers 和私钥的位数,会分别给哪部分造成压力, 4096 位私钥,会给客户端造成压力吗
initialdp
2015-12-05 11:50:03 +08:00
请问像 bluehost 这种虚拟空间方式能用吗?
wy315700
2015-12-05 11:52:23 +08:00
@mengzhuo 对于签名来说, ECC 比 RSA 快,但是对于验证来说, RSA 比 ECC 快了不止一个数量级,尤其是在手机上, ECC 证书在手机上的验证简直不能忍,
mudkip
2015-12-05 11:54:31 +08:00
pacman -S letsencrypt
然后用 certonly + webroot 的方式,几分钟搞定。
Arch Linux 大法好。
mzer0
2015-12-05 12:08:08 +08:00
@Daniel65536 也就是说, OpenConnect 破解了 Anyconnect 的协议?
ygmpkk
2015-12-05 12:31:45 +08:00
这时候不应该用 virtualenv 环境安装吗,很轻松的就搞定了。
Tink
2015-12-05 12:34:25 +08:00
这个现在是不是主流浏览器都支持了?移动端呢?
schemacs
2015-12-05 15:16:19 +08:00
@Daniel65536 "占用 80 端口",如果只是 auth 是不会的,我上周( Beta 公测前)是这样跑只会生成证书,不会去修改 apache/nginx 配置的:`./letsencrypt-auto --agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory --text auth`
Actrace
2015-12-05 15:49:02 +08:00
顺路提醒一下,部分商业支付公司的内部系统可能现在还不支持此类 SSL 证书,比如 paypal.
顶多自己博客玩玩就可以辣.
Daniel65536
2015-12-05 15:57:48 +08:00
@mudkip @schemacs do one thing and do it well ,装一大堆依赖然后用命令行加一堆参数实现一个 200 行脚本就能实现的事情,太不美观了。

@Tink 所有浏览器都支持了,因为他们已经拿到别的 CA 的交叉签了。

@Actrace 这个项目本意也只是给你提供加密,其他 https 的什么保证金之类的是没有的,支付公司不认也正常。
schemacs
2015-12-06 14:00:53 +08:00
@Daniel65536 这个的确, Python 写的,一堆依赖,不过还好,都是在 virtualenv 里,我是厌烦它还要 apt-get update 后安装什么系统库依赖。
DennyDai
2015-12-06 14:28:45 +08:00
在 tiny 的基础上写了个自带服务器的证书获取工具。。。
用 docker 开的,开完就关闭并且删除容器,不影响原有 nginx/apache 配置什么的。。。
用起来应该比较方便,只需要生成 account.key ,然后执行.sh 文件,去指定目录就能看见生成的证书和 key 了
https://github.com/dennydai/docker-letsencrypt
soyet
2015-12-11 12:53:29 +08:00
申请证书的时候出现错误
u'error': {u'type': u'urn:acme:error:connection', u'detail': u'DNS query timed out'}
为什么会出现 DNS query timed out ?
cpublic
2017-09-22 13:31:36 +08:00
Let's Encrypt 绝对没有说的那么差,对于中小型网站来说,Let's Encrypt 可以说是一个最具有性价比的 SSL 证书选择了!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/241179

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX