虽然标题说「产可用」,但暂时还是仅限白名单用户,不过 LE 官方说很快会全面推出
IP 证书必须使用 shortlived 证书配置文件,这意味着
- 证书有效期为 160 小时 (大约是 6 天半)
- 证书通用名字段为空
- 不提供 TLS Client Auth EKU
同时你使用的 ACME 客户端必须支持设置 Profile 的功能,不显式指定 shortlived 配置文件的情况下无法申请 IP 证书
证书预览
12 条回复 2025-11-30 21:25:00 +08:00
 | 1 liuzimin 3 天前 没看懂。我们生产环境买商业证书,用长有效期来减少失效风险不就是其中一个考虑的点吗?为嘛这有效期这么短了却还是生产可用? |
 | 2 ETiV 3 天前 via iPhone |
 | 3 ZeroClover OP |
 | 4 NewYear 3 天前 @liuzimin #1 恰恰相反,缩短有效期让证书更加安全,浏览器正在推进新的安全要求,即将只支持 2 个月证书了,超长时间的会不被信任(事实上之前可以一次性用很多年的证书) 毕竟……泄露了也快失效,没法利用很久。 而 IP 证书的问题更麻烦,因为很多人持有一个 IP ,但并不是真的拥有这个 IP ,所以可用期限很短。(只是租用,手续上还是属于商家的) 再一个好处就是倒逼用户“自动化上 SSL 证书,确保安全不过期” |
 | 5 Showfom PRO  1 我们打包的 n.wtf 最新 1.29.3 也支持 nginx-acme 了 https://n.wtf/ https://github.com/nginx/nginx-acme 可以使用 nginx-acme 自动签发 IP 证书 |
 | 6 unused 3 天前 zerossl 签的是 3 个月的 |
 | 7 PluginsWorld 3 天前 https://ssl.plugins-world.cn/ 我做了自动化申请 ssl 和部署到多种云资源上的系统。目前来说感觉证书有效期缩短问题不大。 |
| 8 ZeroClover OP @unused ZeroSSL ACME 不支持 IP ,API 只能免费签 3 个证书 |
 | 9 PrinceofInj 3 天前 @NewYear 在所谓的安全上是不是舍本逐末了?既然担心泄露,两个月就安全了么?为什么不直接按会话签发证书呢?可以自动化部署就是可以缩短时效的理由么? |
| 10 NewYear 2 天前 |
 | 11 AkinoKaedeChan 2 天前 via iPhone 等不及力,但是现在似乎感恩节休假 |
 | 12 nightwitch 2 天前 @PrinceofInj 纠结这个没有用了,主要浏览器已经达成一致了,只有按着头接受了 |
Select Language