首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
linjinbao66
V2EX  ›  SSL

Let's Encrypt 有哪些缺陷?

  •  
  •   linjinbao66 · 133 天前 · 3275 次点击
    这是一个创建于 133 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近在给自己的汪涵自签名,用的 Let's Encrypt,免费的,但是我发现用这个的一般都是个人站点这种,Let's Encrypt 有什么缺陷吗,为什么大公司不用?除了不在乎钱还能有什么原因?

    24 条回复    2020-04-15 19:03:09 +08:00
    Vhc001
        1
    Vhc001   133 天前
    只有 90 天
    huangtao728
        2
    huangtao728   133 天前
    汪涵: 喵喵喵??
    gwy15
        3
    gwy15   133 天前   ❤️ 1
    只有 90 天其实不算什么问题,丢个 certbot 任务到 root 的 crontab 里面就可以了。大公司不用的原因可能是没有售后支持。
    Tezos
        4
    Tezos   133 天前
    缺陷:免费
    Love4Taylor
        5
    Love4Taylor   133 天前 via Android
    没有商业支持,并且 DV 以上的付费证书的钱也是可信度的钱(应该。
    linjinbao66
        6
    linjinbao66   133 天前
    @huangtao728 是网站哈哈,会不会是 Let's Encrypt 支持的浏览器少的原因
    rockyou12
        7
    rockyou12   133 天前
    个人用只有优点,大公司不用除了没人背锅,估计也没有迁移动力
    gwy15
        8
    gwy15   133 天前   ❤️ 4
    @Love4Taylor 说的对,Letsencrypt 只提供 DV 型证书,大公司的证书你翻一下基本上全是 OV EV 的。前者只能保证通讯过程安全,不被 MITM,后两者才能保证你访问的是官方网站(不被钓鱼攻击,比如使用 unicode 域名,像 a pp le.com 这种)。后两者证书需要提供公司执照等等,还要人工参与才会分发,当然价值不菲。

    @linjinbao66 letsencrypt 支持现在非常好了,基本上不会
    Takuron
        9
    Takuron   133 天前 via Android
    没有缺点,相当于为普及 https 放出的小福利,个人偷着用,大企业自然会选别的可信度更高的证书。
    IvanLi127
        10
    IvanLi127   133 天前 via Android
    用的时候没有优越感? 哈哈 没感觉有啥缺陷🤣
    Stain5
        11
    Stain5   133 天前
    免费的个人 DV 不香了吗
    每年重新部署一次 可靠性不是比 90 天的强多了
    hash
        12
    hash   133 天前
    ECC 根证书已经鸽到不写预计时间了
    yylzcom
        13
    yylzcom   133 天前   ❤️ 1
    dns.he.net 用的就是 Let's Encrypt 的证书,我觉得相对于个人来说这个足够"大"了

    https://community.letsencrypt.org/t/list-of-brands-using-letsencrypt-ssl/50000/5 这个帖子里有人列举了在用 Let's Encrypt 的几个还算比较大的站点
    https://letsencrypt.org/stats/ 这个页面里有详细的证书数据,那么多站点都用了,所以不用担心有什么坑


    大公司一般都用付费的 EV 或者 OZ 证书,这就是为什么很少有大公司用… 付费的证书是有一定保险额度的,万一发生点什么(具体没仔细研究过),是可以拿到赔偿金的

    我觉得,个人或者中小公司用 Let's Encrypt 完全没问题
    yylzcom
        14
    yylzcom   133 天前
    @yylzcom #13 错字 OZ-OV
    VANHOR
        15
    VANHOR   133 天前
    readhub.cn 用的也是 Let's Encrypt
    d5
        16
    d5   133 天前
    有一些教程,说利用 adblock,把 letsencrypt 验证域名还有苹果的几个域名一加,设置就无法检测到更新了。。
    zi
        17
    zi   133 天前
    seagroup 的招聘站用的就是 lets 证书,https://career.seagroup.com/
    vinsec
        18
    vinsec   133 天前 via iPhone
    平时喜欢看网站的证书类型,如果企业网站用 let’s encrypt 我还会觉得怪怪的
    love
        19
    love   133 天前
    @Stain5 自动化比一年手动一次可靠得多
    dndx
        20
    dndx   133 天前
    只有 DV,没有 EV,没有 OV,没有 SLA,没有售后。

    90 天这个真的不能算是缺陷,实际上考虑域名会过期以及 key 需要经常更换反而更安全。君不见 Google 自己给自己签的也都是 90 天的证书。自动化续约即可。
    webshe11
        21
    webshe11   133 天前
    如果你买国内 VPS 玩没有备案,80 443 端口全被封,同时如果你的 DNS 不支持 API,那就需要每次手动改 TXT 记录,非常痛苦
    whywhywhy
        22
    whywhywhy   132 天前 via Android
    @gwy15 https 普及的时候也普及出一堆知名和不知名的网站证书过期没有人管(看到的不知道在哪反馈,管理人员知道处理但是又看不到(没看到)),还有的用上了更高级的 hsts 和 HSTS Preload List,还得找个上古时期不认识 hsts 的浏览器才能打开。。。让你想骂人的心都有

    所以,还是期限越长越好,90 天还是太少了。
    myssl
        23
    myssl   130 天前
    LE 签发的 300 万证书明天开始吊销,没有售后支持,用户一脸懵逼,甚至都不知道(说好的自动更新)。明天开始用 myssl.com 来检测吧,顺便加个监控,吊销了还能给你通知。
    sn01615
        24
    sn01615   88 天前
    iOS 不知道为啥给 Let's Encrypt 做了个联网验证,最接近验证那个地址国内无法访问了,然后 iOS 就直接卡死,超时。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1586 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 17:06 · PVG 01:06 · LAX 10:06 · JFK 13:06
    ♥ Do have faith in what you're doing.