一年多Let’s Encrypt的SSL证书使用有感

投稿   明月登楼  2018-06-25 07:05:19  147 人阅读  33 条评论

话说我把站点升级到HTTPS 的主要动力其实就是因为 Let's Encrypt 的免费 SSL 证书,在网上开始流行 HTTPS 的时候明月就开始关注了,因为之前明月一直是 DNS 劫持等手段的“重度”受害者,甚至站点因为各种“劫持”遭到百度降权的惩罚,所以明月一直很关注网站安全方面的技术,HTTPS 可以说是明月很迫切需要的。

一年多Let’s Encrypt的SSL证书使用有感 建站经验 第1张

因为最早使用的是虚拟主机,实现 HTTPS 在当时几乎是不可能的(那时候很多虚拟主机的面板都不支持 SSL 部署的),左思右想后果断迁移至阿里云 ECS 上,边用边学的运维实践开始了,等到有了一定的基础之后就开始考虑全部站点的 HTTPS 了。这时候其实已经关注 Let's Encrypt 很久了都,当时选择 Let's Encrypt 主要就是因为 Let's Encrypt 的 SSL 证书申请获取方式比较适合自己的情况,加上后来又用上了 acme.sh 脚本(可参考【Linux 下使用 acme.sh 申请和管理 Let’s Encrypt 证书】)后基本上是彻底的被 Let's Encrypt 被征服了。

很多站长对 Let's Encrypt 最大的诟病就是其 SSL 证书有效期只有 90 天,90 天后需要手动的续期(这里说“手动”其实不严谨了,现在通过脚本基本上都是自动智能续期了),甚至还有不少人说 Let's Encrypt 的 SSL 证书获取、申请方式虽然另类方便,但也让各种钓鱼网站、违法网站获取使用 SSL 证书变的更方便了。其实持这些观点的人都是没有真正使用过 Let's Encrypt 的,下面明月结合自己这一年多来使用 Let's Encrypt 的经验给大家阐述一下:

一年多Let’s Encrypt的SSL证书使用有感 建站经验 第2张

其实 Let's Encrypt 的这种申请、获取、续期方式明月感觉才是真正引领着未来 SSL 证书发展潮流,因为这种依托于服务器端的 SSL 证书申请和获取有一定的技术门槛,这就造成不是谁都可以随便的就获得网站 SSL 证书,加上是申请 SSL 证书的时候需要验证服务器端所有权和管理权,自然也就保证了 SSL 证书获取途径的唯一性和安全性。那怕上述都是虚假的在 90 天的时间里肯定也会暴露这个站点是否合法等情况,只需要拒绝续期就可以了,这样一来就将此类站点所带来的危害降低到了一定的范围时间段内,就算你是钓鱼网站你最多也就是使用三个月而已,然后你就有可能无法获取到 Let's Encrypt 证书的续期了,甚至你的服务器都会被锁定屏蔽,再加上其他的技术手段锁定所有人也不是不可能。这也是为啥 Let's Encrypt 官方都宣布过来钓鱼网站申请 Let's Encrypt 证书数量和次数由高到低的浮动变化,相对于那种付费或者免费有效期 1-3 年的 SSL 证书来说 Let's Encrypt 证书这方面的优势尤为明显,可以说是免费 SSL 证书里安全系数很高的 SSL 证书了。

至于很多站长们诟病的 90 天后需要“续期”这个,其实明月感觉没有那么麻烦,因为借助第三方的工具,在服务器端完全可以做到无人值守的自动续期,这一年以来明月都是这么过来的,没有出现过一次问题,唯一可能算是“麻烦”的就是使用 CDN 的时候需要在 CDN 后台里手动导入 Let's Encrypt 的 SSL 证书,这个问题真不是 Let's Encrypt 的问题,目前来看也没有很好的解决办法,除非大家使用 CDN 自带的 SSL 证书,这样一来可能就会面临服务器端和 CDN 端使用的是不同的 SSL 证书,好在这样的 HTTPS 主流浏览器都是支持的。其实 CDN 里导入 Let's Encrypt 证书无非就是为了可以服务器端、 CDN 层面都使用免费的 SSL 证书而已,免费的嘛就不要在意这些细节了。再说对于“折腾”型的博客站长们来说,三个月的时间,折腾频繁的话弄不好服务器都恢复快照 N 次了都,又何必在乎 CDN 手动导入 SSL 证书的“麻烦”呢?

一年多Let’s Encrypt的SSL证书使用有感 建站经验 第3张

在使用 Hexo 搭建博客的时候,明月就发现国内的 coding 代码托管平台的静态网页空间支持 Let's Encrypt 证书申请和使用,据说现在 GitHub 也已经支持 Let's Encrypt 证书了,所以未来看 CDN 平台上支持 Let's Encrypt 证书直接申请、获取、续期也不遥远了,至少明月直到又拍云 CDN 就已经支持 Let's Encrypt 证书的自动申请、获取和使用了(说白了就是使用 Let's Encrypt 的 SSL 证书在又拍云 CDN 部署上可以单独申请 Let's Encrypt 来实现 CDN 层面的自动续期)。

综上所述,明月一直以来都认为 Let's Encrypt 是草根博客站长们站点 SSL 证书的首选,单从现在各个主流浏览器对 Let's Encrypt 证书的支持和兼容情况就可以看出 Let's Encrypt 在 SSL 业界的地位了,免费的同时又有极高的兼容性、安全性不选择 Let's Encrypt 选择啥呢?当然,土豪草根博客站长们可以无视了,跟收费的 SSL 证书比较目前 Let's Encrypt 还是有些欠缺的,虽然欠缺主要表现在“公信度”上,不过,随着时间的推移和 SSL 的高普及率,Let's Encrypt 在业界的地位一定会“水涨船高”的,到时候这些问题还能算是问题吗?

历史上的今天:

如果文章对你有帮助,请赞赏支持作者继续创作!

文章标签: ,   ,   ,   ,  
原文地址:https://www.imydl.com/work/8135.html
温馨提示:文章内容仅代表作者个人观点,不代表boke112导航赞同其观点和对其真实性负责!
版权声明:本文为投稿文章,感谢 明月登楼 的投稿,版权归原作者所有,欢迎分享本文,转载请保留出处!
明月登楼

相关文章 分类热门分类热评最新问答

 发表评论

中国赞表情摊手表情吃瓜表情笑哭表情偷笑表情衰表情汗表情思考表情费解表情抓狂表情晕表情流泪表情疑问表情嘻嘻表情吃惊表情鼓掌表情

  1. KL
    KL @回复

    certbot 自動續期 ^^

  2. Litanid
    Litanid @回复

    这篇文章还是说得比较中肯的,不像附近一篇,太武断!!!!赞 !!!!!!!!!!!

  3. 网站建设
    网站建设 @回复

    很早之前就弄了

  4. 千眼网
    千眼网 @回复

    Let’s Encrypt确实方便了很多人啊

  5. 猫鼬博客
    猫鼬博客 @回复

    虚拟机可用吗? 脑抽了买了个独享虚拟机。

  6. Ν Ι С Ξ
    Ν Ι С Ξ @回复

    我也申请了免费的 奈何是虚拟主机 网上说用什么cdn跳转虚拟主机也可以ssl 写得不清不楚 小白看不懂 云服务器是个什么东西 我也没搞清楚 貌似要敲代码的 惹不起。。。

    • 明月登楼
      明月登楼 作者回复2018-06-26 11:05  回复

      @Ν Ι С Ξ是的,通过 CDN 实现HTTPS这是个可行的方案的!百度云加速和又拍云 CDN 都可以实现!

  7. 清风小墨
    清风小墨 @回复

    都有泛域名的了

  8. 靠谱学生兼职网
    靠谱学生兼职网 @回复

    我的用宝塔面板的,可以免费申请

  9. BanYuner
    BanYuner @回复

    一直没有使用SSL 即使用了ECS 等哪天非用不可的时候再说吧

  10. 阁主博客
    阁主博客 @回复

    早早用上SSL显得不那么落后@!

  11. 闲鱼
    闲鱼 @回复

    喜欢Let’s Encrypt没理由,哈哈 [偷笑]

  12. 明月清风
    明月清风 @回复

    我也很早就用上了ssl证书的啦!

  13. 于闻观纸
    于闻观纸 @回复

    最近忙来的少了,ssL一直没上

  14. 大缺缺
    大缺缺 @回复

    用了这么久的阿里云,都不知道他是那个牌子的SSL [嘻嘻]

  15. 区块链
    区块链 @回复

    [抓狂] 本来我新建立这个站的时候,就打算加S了。但是百度站长工具坑爹,一直检测说没有全站301于是乎就放弃了。 [思考]

  16. 鬼手六
    鬼手六 @回复

    Let’s Encrypt不错,现在网站在浏览器没有个绿色小锁标志浑身不舒服..

  17. 里维斯社
    里维斯社 @回复

    Let’s Encrypt免费证书不错的

  18. 用手机赚钱
    用手机赚钱 @回复

    https的要怎么弄啊

  19. 沈唁志
    沈唁志 @回复

    Github pages也用的Let’s证书

    • 明月登楼
      明月登楼 作者回复2018-06-25 09:38  回复

      @沈唁志是的,好像是才开始支持吧!我用的是 Coding 原生支持Let’s Encrypt证书!

  20. 魏艾斯博客
    魏艾斯博客 @回复

    我用的也是lets证书,不错哦

  21. 银色月航
    银色月航 @回复

    每次都是手动续期。。。CDN也要手动

    • 明月登楼
      明月登楼 作者回复2018-06-25 09:38  回复

      @银色月航不是吧,服务器上定时任务自动需求的! CDN 手动这个其实只要才能到支持Let’s Encrypt证书的话在 CDN 再申请个就可以自动续期了!