这是一个创建于 3599 天前的主题,其中的信息可能已经有所发展或是发生改变。
Let ’ s Encrypt 公测了,实验了下吐槽如下:
这个项目由两个部分组成,一个是他们管理的 acme-server ,负责认证与签发证书,另一个是他们提供的 acme-client ,用来申请证书,也就是那个他们要你实际在服务器上安装运行的程序。
他们提供的 client 很蠢,我只想要一个证书申请工具,却给我来了个全家桶,一堆依赖,占用 80 端口帮你搞认证,还提供个什么鬼自动修改你的 apache/nginx 配置帮你安装证书。支持的认证方式多,然而并没有什么卯月,最实用的还是 http-01 认证,也就是丢个文件到你的网站底下。
https://github.com/diafygi/acme-tiny 这才是你真正需要的 acme-client ,只干申请证书这一件事的脚本, 200 行,无 python 和 openssl 以外的依赖。这个脚本就干了 3 件事:向 acme-server 请求进行认证,把认证文件丢在网站根目录下来证明你拥有这个网站,下载通过认证后签好的证书。
在使用了这个实用的脚本后,申请 ssl 证书被简化成了 1 分钟就能完成的事情,确实方便。
 | 1 aku 2015-12-04 16:35:23 +08:00 via Android 感谢 |
 | 2 pupboss 2015-12-04 17:04:14 +08:00 4096 位 RSA 慎用...CPU....别问我怎么知道的 |
 | 3 Daniel65536 OP @pupboss 明年初出 ecc 证书,到时候就方便了…… |
 | 4 phoenixlzx 2015-12-04 17:09:27 +08:00 现在没必要 RSA4096 吧... (而且 Comodo 的 ECC 证书超便宜啊 |
| 5 pupboss 2015-12-04 1713:29 +08:00 @Daniel65536 哈哈,话说, ECC 我折腾了快一周了,感觉资源消耗方面,跟安全一样, 384 位的 ECC 和 2048~4096 的 RSA 消耗的 CPU 差不多。而且安卓 2.3.x , Windows XP ,死活不支持 谷歌一搜关于 ECC 的中文文章,全特么被沃通承包了,沃通一直在说 ECC 如何好,对移动设备友好,关于移动设备的说法,英文文章并没找到。。。 |
| 6 pupboss 2015-12-04 17:14:58 +08:00 @phoenixlzx 黑五悄悄的屯了几个,白菜价的东西,居然没有黄牛 |
 | 7 GPU 2015-12-04 17:15:48 +08:00 |
| 9 GPU 2015-12-04 17:22:23 +08:00 |
| 10 Daniel65536 OP 如果希望用 rsa2048 的话, acme-tiny 项目上提到的 openssl genrsa 4096 > domain.key 这一步改成 openssl genrsa 2048 > domain.key 就好…… @pupboss 给自己 blog 用,我是直接从 css 、 js 上设定兼容标准的,既然某些客户端访问也达不到我希望的效果,那就干脆 ssl 都不让连好了,任性…… @phoenixlzx Comodo 的 ECC 好像和 Positive SSL 是同一个项目吧?价格也是一样的吧… |
| 11 phoenixlzx 2015-12-04 17:22:55 +08:00 @pupboss 毕竟没怎么张扬... |
| 12 phoenixlzx 2015-12-04 17:23:30 +08:00 |
| 13 Daniel65536 OP |
| 14 Daniel65536 OP @phoenixlzx 然而 Comodo 家要配个 4 层证书链,实际上证书文件大小和 2048 串下来的 3 层 rsa 差不多…这样 ecc 证书短的优势就体现不出来了。 所以我一直比较期待 rapidssl 之流出 ecc 证书或者 let's encrypt 的 ecc …… |
 | 15 wy315700 2015-12-04 17:29:51 +08:00  1 |
| 16 GPU 2015-12-04 17:30:10 +08:00 @Daniel65536 在 comodo 里面 是不是有说明 ```Highest strength 2048 bit signatures / 256 bit encryption ``` 这段就是直接 ecc ? 还是怎样的.我看 Free SSL 也有这段啊. |
| 17 phoenixlzx 2015-12-04 17:33:28 +08:00 @Daniel65536 ShinoSaki SDV 签 ECC 给的是个 bundle PositiveSSL 给的是多张证书 bundle 里就两层,不知道为啥 不过串联起来的效果似乎一样 另外慢大概是网速问题... |
| 18 Daniel65536 OP @GPU 好像就是 ecc , comoda 的 ecc 就支持 256bit 的, 384bit 会被拒签 |
| 19 GPU 2015-12-04 17:36:48 +08:00 你们买的 哪里便宜了? 我直接官网看 77 刀一年呢。 |
| 20 phoenixlzx 2015-12-04 17:40:50 +08:00 |
 | 21 greenskinmonster 2015-12-04 17:54:41 +08:00 acme-tiny 必须要 80 端口,被运营商屏蔽的话,就只能用官方的 client 了 |
| 22 Daniel65536 OP @phoenixlzx 看了一眼你的 ecc 证书长度有 3 层 2891 bytes ,我用的 rsa 证书 2 层 2342 ,如果能有两层的 ecc 证书就能把长度压到 1900 byte 了…… |
| 24 pupboss 2015-12-04 18:11:09 +08:00 @Daniel65536 你还在纠结一个数据包传完证书内容 |
| 25 phoenixlzx 2015-12-04 18:13:10 +08:00 =。= 你们真是 sxbk |
| 26 Daniel65536 OP |
 | 27 yangyang 2015-12-04 18:27:47 +08:00 继续用 StartSSL 。 |
 | 28 linker 2015-12-04 21:24:12 +08:00 via iPhone 下午刚从推特看到你讲的! |
 | 29 tokki 2015-12-04 21:26:53 +08:00 听不懂啊 到底用还是不用阿。。 |
 | 30 lzhd24 2015-12-04 21:41:50 +08:00 via Android BlackGear? |
| 31 Daniel65536 OP |
 | 32 shotego 2015-12-04 23:21:23 +08:00 看来被那个 Python 依赖弄的烦的不只我一个 |
| 33 Daniel65536 OP @shotego 洁癖加强迫症伤不起啊…… |
 | 34 Quaintjade 2015-12-05 00:35:17 +08:00 @pupboss 浏览器支持 ECC 还算好的。记得 AnyConnect 不信任, OpenConnect 不支持,不知道现在版本如何。 |
| 35 Daniel65536 OP @Quaintjade OpenConnect 已经支持了, AnyConnect 还是老样子…… |
 | 36 mzer0 2015-12-05 03:06:15 +08:00 @Daniel65536 问一下, AnyConnect 能自己部署吗? 要付费订阅吗? 另外, OpenConnect 和 OpenVPN 比, 怎样? ECC 只是安全性比较好, 速度和 RSA 一样慢. |
| 37 Daniel65536 OP @mzer0 see: https://darknode.in/network/setup-debian-ocserv/ 最大的优势是 anyconnect 更加商业,所以哪怕有办法封锁也会更慎重。当然有状态的 VPN 永远在性能与稳定性方面比不上无状态的某工具… 同等安全性 ECC 更短,这也是优势啊。速度反过来说也是好 RSA 一样快… |
 | 38 tcdw 2015-12-05 09:07:08 +08:00 via Android 折腾了几个小时来给他家的烂客户端部署环境、解决错误,结果居然有这么简单的途径。 |
 | 39 AstroProfundis 2015-12-05 09:09:29 +08:00 为啥我感觉如果性能敏感到要纠结几个包传完证书了,还不如直接上 RSA 硬件卡... 我就是路过冒个泡,请无视_(:з∠)_ |
 | 40 HowardMei 2015-12-05 09:37:48 +08:00 @Daniel65536 Let's Encrypt 几层证书链?比 Comodo 好吗? |
| 41 tcdw 2015-12-05 10:16:55 +08:00 via Android @HowardMei 我注意过,三层,分别是自己证书、 Let's Encrypt 的中级证书和 DST 的根证书。 看上去效力跟 Comodo 单域名的差不多。 Demo: https://tucaoda.wang |
 | 43 mengzhuo 2015-12-05 10:28:57 +08:00 |
| 44 pupboss 2015-12-05 11:19:02 +08:00 @mengzhuo 受教了,请教一个业余的问题 = =加密 ciphers 和私钥的位数,会分别给哪部分造成压力, 4096 位私钥,会给客户端造成压力吗 |
 | 45 initialdp 2015-12-05 11:50:03 +08:00 via Android 请问像 bluehost 这种虚拟空间方式能用吗? |
| 46 wy315700 2015-12-05 11:52:23 +08:00 @mengzhuo 对于签名来说, ECC 比 RSA 快,但是对于验证来说, RSA 比 ECC 快了不止一个数量级,尤其是在手机上, ECC 证书在手机上的验证简直不能忍, |
 | 47 mudkip 2015-12-05 11:54:31 +08:00 pacman -S letsencrypt 然后用 certonly + webroot 的方式,几分钟搞定。 Arch Linux 大法好。 |
| 48 mzer0 2015-12-05 12:08:08 +08:00 via iPhone @Daniel65536 也就是说, OpenConnect 破解了 Anyconnect 的协议? |
 | 49 ygmpkk 2015-12-05 12:31:45 +08:00 这时候不应该用 virtualenv 环境安装吗,很轻松的就搞定了。 |
 | 50 Tink PRO 这个现在是不是主流浏览器都支持了?移动端呢? |
 | 51 schemacs 2015-12-05 15:16:19 +08:00 @Daniel65536 "占用 80 端口",如果只是 auth 是不会的,我上周( Beta 公测前)是这样跑只会生成证书,不会去修改 apache/nginx 配置的:`./letsencrypt-auto --agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory --text auth` |
 | 52 Actrace 2015-12-05 15:49:02 +08:00 顺路提醒一下,部分商业支付公司的内部系统可能现在还不支持此类 SSL 证书,比如 paypal. 顶多自己博客玩玩就可以辣. |
| 53 Daniel65536 OP |
| 54 schemacs 2015-12-06 14:00:53 +08:00 @Daniel65536 这个的确, Python 写的,一堆依赖,不过还好,都是在 virtualenv 里,我是厌烦它还要 apt-get update 后安装什么系统库依赖。 |
 | 55 DennyDai 2015-12-06 14:28:45 +08:00 1 在 tiny 的基础上写了个自带服务器的证书获取工具。。。 用 docker 开的,开完就关闭并且删除容器,不影响原有 nginx/apache 配置什么的。。。 用起来应该比较方便,只需要生成 account.key ,然后执行.sh 文件,去指定目录就能看见生成的证书和 key 了 https://github.com/dennydai/docker-letsencrypt |
 | 56 soyet 2015-12-11 12:53:29 +08:00 申请证书的时候出现错误 u'error': {u'type': u'urn:acme:error:connection', u'detail': u'DNS query timed out'} 为什么会出现 DNS query timed out ? |
 | 57 cpublic 2017-09-22 13:31:36 +08:00 Let's Encrypt 绝对没有说的那么差,对于中小型网站来说,Let's Encrypt 可以说是一个最具有性价比的 SSL 证书选择了! |
Select Language