今天想到个奇怪的事
明明 lets encrypt 可以提供免费证书, 并且可以稍微配置下就自动更新 虽然三个月一次, 但是自动更新了, 有啥区别
别说大点公司网站不差钱, 今天无意中看了下, hacknews 网站, 最前沿的 it 信息站, 每天流量巨大 https://news.ycombinator.com/ , 结果也是用的 lets encrypt 免费 3 个月那种
另外大家天天上的 V2EX 也是用的 lets encrypt
1
llxvs 23 天前 via iPhone 23
因為很多人不用花的自己的錢買。
|
2
namaketa 23 天前
本来证书的钱对公司来说就很便宜,免费证书三个月一次太短了,轮换的时候容易出风险,商务证书出了问题还有人服务。
还有就是以前免费证书不支持泛域名。 |
3
swjsj 23 天前 1
3 个月的免费证书是支持泛域名的,我现在几个域名都是用泛域名
|
4
msg7086 23 天前
个人喜好不同,有些人习惯设定好自动续期然后放着不管,有些人喜欢一年过期一次等人提醒了再想起来。
|
5
hefish 23 天前 1
op 哥,即便是商用证书,也是分等级的吧? 价钱不一样吧? 你觉得为啥要分这些等级?
|
6
sagaxu 23 天前 5
1. 只有 DV ,没有 OV 和 EV
2. OSCP 被墙 3. 泛解析 4. SLA (大公司非常看重) |
7
iorilu OP @hefish 我是不太清楚阿, 但证书这东西, lets crypt 给的免费的难道比商业的有啥差别
这东西又不是给用户看的, 浏览器认不就行了, 没弹出啥警告对用户来说都一样 除了时间短点, 我看的那种 hacknews 这种级别大公司也用的 |
8
Rorysky 23 天前 3
明明我不刷礼物也能看女主播跳舞,为什么他们要刷礼物呀
|
10
drymonfidelia 23 天前 2
抽卡游戏不充值也能玩 为什么有的人充几十万几百万
|
11
JensenQian 23 天前
1 有保险,商业证书出事情了有保险啊
2 V2EX 的是 cf 自带的 3 证书一年的话简单啊 苹果之前还说要让证书最长 90 天,结果自己还忘记更新,导致 apple music 宕机 |
12
kera0a 23 天前 via iPhone
万一自动脚本出问题了谁负这个责任,为公司省那点小钱没必要
|
13
Lilalaaa 23 天前 1
|
14
Bantes 23 天前
大厂还有忘记续证书导致接口挂了的呢
|
15
lrvinye 23 天前 via iPhone
商业证书=商业保险
|
16
xiangyuecn 23 天前
断人财路,如杀人父母🐶 按我的意思,这些家伙就该连根刨掉,让 https 的普及至少晚了 20 年
|
17
codehz 23 天前 2
因为以前 EV OV 是有专门标志的,甚至可以显示公司名字
但现在因为这个名字完全可以被伪造(在别的国家注册一个同名公司就可以申请,颁发机构没有特殊理由不能拒绝),各大浏览器商都干掉了这个显示。。。所以意义大幅度削减 |
18
ospider 23 天前 1
苹果在力推 47 天有效期了,付费证书最后一点优势也没有了。从历史来看,苹果力推的成功率还是挺大的,比如国内 https 普及率也是在 AppStore 要求后才终于上来的。
|
19
Tdy95 23 天前
OP 可以分享一下自动订阅的脚本吗
|
20
june4 23 天前
自动脚本怎么会出错?万一真可能有错的话,大公司的监控系统不加个证书过期监控?我自己的小站都设置了证书临期监控。手动一年一次的反而容易出错。
|
21
Byleth 23 天前
我觉得主要是维护成本,免费证书仨月就要重新部署一次(实际上为了保险防止出问题导致服务中断,两个月时就得赶紧重新部署新证书,算下来一年得部署六次)
|
23
GoodRui 23 天前 via Android
因为我们用到证书,不仅是 nginx 这种使用,还有 tomcat 里面直接配置,自己开发的一些应用,还有 waf 这种应用网管需要配置上 ssl 证书,这种用途每年一换还能接受,用 3 个月的免费证书没法自动化部署。
|
24
cybort 23 天前 via Android
你知道人家网站一天不能登录损失多少钱吗?
|
25
cydian 23 天前
你真的有调查、研究过商业证书吗?
|
26
SillyAdam 23 天前
关于证书自动更新,我用的是的 `acme.sh` 这个工具,然后他们提供了一个自动更新的命令,加到 `crontab` 就好。
但这不适用于所有场景,比如我有一个服务是对内网的,所以更新证书需要通过 DNS txt records 来完成验证。这个步骤只能手动操作(自动操作的话相当于通过把修改整个域名 DNS 记录的权限都给到这个工具了,我不是很放心)。 |
28
adov 23 天前
没记错的话,今年好像出现了几次大厂 https 配置出现问题的情况吧
|
29
vibbow 23 天前
不是所有设备都支持 acme 的,甚至有的设备更换证书还要重启服务
|
30
doruison 23 天前
@JensenQian 这不恰恰说明该用自动更新+免费证书么……
当然你要说商业选择,那是另一回事 |
31
WhatTheBridgeSay 23 天前 1
公用和私用侧重点就不同,前者在意 SLA 等技术参数以外具体到执行人身上会更加在意出了问题有没有背锅侠,而后者私用就很简单了,只追求成本低其他的都无所谓。并不是说成本低不好,而是证书钱放到公司运营中其实不值几个钱,但是却可以帮助具体操办的小兵规避责任+技术支持,更何况还有做政府项目根本无法自由访问公网的环境下也要用 TLS 证书这种场景,用 3 个月的免费证书相当于帮公司省钱难为自己。
|
32
defunct9 23 天前 via iPhone
shit 啊,每次 20 几个地方,没法自动。三个月折腾一次,要疯了吧
|
34
jpuyy 23 天前
其实安全性上是一样的
|
35
esee 23 天前
主要是两点吧,1. acme 的免费证书首次验证响应会慢一些,相比机构在亚洲的可能差别有 100 毫秒?在个别敏感地区差别可能更大,你不在乎响应速度的话那无所谓。2 不是所有设备都支持 acme 的证书,兼容性会差一些,可能会有个别设备旧一些的打不开。。。一个个人的使用体验,在我使用 acme 的免费证书的期间,用户的内购金额会比用别的证书少一些。。不知道是否是有证书的影响。
|
36
passive 23 天前 via Android
有一次买电,准备付款的时候发现那个网站用的是 letsencrypt ,脑袋里立刻响了警报。重新 google 了官方站,果然官方不用免费的 ssl 。作为代理商,李鬼站每度电额外拔毛五分钱。 如果他没用免费证书,说不定就能顺利坑到我了。
|
37
Nosub 23 天前 via iPhone
官网不是说了吗,证书存在兼容性问题。https://letsencrypt.org/zh-cn/docs/certificate-compatibility/
|
38
janus77 23 天前
可能大公司习惯什么都自建,lets encrypt 的东西他们不信任,很多网站用证书只是为了那个绿色的小锁而已,而大公司是真的觉得用自己的东西更安全。
|
39
adoal 23 天前
@SillyAdam 对内网服务确实是个很实际的需求。自己维护一个给内网用的 CA 其实还是很麻烦的,能用 well known CA 链还是不要自己折腾为妙。而且,你说的不信任 DNS 记录权限给工具还算好的了,这是你自己评估之后的结果。还有一种扯蛋的情况是,DNS 是信息化部门负责的,开通域名要按 A 记录逐条签署安全责任书申请审批,根本不下放子域名解析权给二级业务单位。
|
40
lcy630409 23 天前
这么给你打个比方
你愿意花 1 块钱买一个一年证书,而且附带到期提醒,损失理赔么 你愿意买 那么公司也愿意买 |
41
hefish 23 天前
证书不光是浏览器用吧。另外加密位数也不一样吧。
|
42
Foxkeh 23 天前 2
个人对 LetsEncrypt 整体评价不错, 也带给我不少烦恼.
我负责的几个项目是从 2018 年开始逐步引入, 兼容性确实差点, 个人项目或者商业项目的测试环境的话可以玩玩, 公司的商业项目考虑广泛的兼容性的话(尤其是老旧设备)不建议用, 有责任追究机制的话作为当事人会很不好受: 1.某些银行对接无法通知我方系统,这种只能换收费证书. 2.低版本安卓设备兼容性问题, 又是换证书,简单粗暴. 3. X3 OCSP 被墙,手动维护 Nginx 解决, 后来官方换成 R3 就不需要处理了. 4.期间尝试过换成 ZeroSSL, 一样是通过 certbot 自动管理, 循环免费 3 个月, 对比起来兼容性更好一点, 但是配置操作也更复杂一些. |
43
beneo 23 天前
小公司无所谓,大公司还是稳定一些比较好,3 个月太折腾了,换 SSL 证书的地方也很多。最重要的是 SSL 证书上要显示出公司的名字
|
45
NoCloud 23 天前
个人花钱买证书的确实极少;但是机构、组织还是多。一些理由楼上说了很多了,但我觉得关键就是反正又不用技术人员自己出钱,用公司的钱买服务,出事了还有地方甩锅,多好。
|
46
shaojz2005 23 天前
实操的经验是有些旧系统旧浏览器不支持 LetsEncrypt 证书,原因如 37 楼所说的。
当一个产品的用户量大的时候,总会有些用户使用旧设备,导致不能访问,为兼顾这部分用户需要用云服务商的免费甚至收费证书。 其实云服务商提供接口的,免费 3 个月的证书也可以自动申请新的自动替换。 |
47
molezznet 23 天前
通常绝大多数一般情况:
企业不差钱, 个人不差时间。 |
48
youyang 23 天前
@shaojz2005 阿里云不行吧。。
|
49
youyang 23 天前
感觉还是不差钱, 我身边都是白嫖免费证书
|
50
lqs 23 天前 via iPhone 2
这就是这些昂贵的证书服务商的诈骗手段:
一是利用信息不对称,误导客户以为证书价格仍停留在二十年前的昂贵水平; 然后则通过恐吓手段,声称他们提供的证书更安全,并以毫无实际意义的“证书保险”欺骗不懂技术的企业决策层。实际上加密是否安全取决于服务器使用的协议和算法,而不是证书。 |
51
blackguester 23 天前
@Rorysky 你這比喻,相信兄弟一定是深諳此道
|
52
djv 23 天前
牛的是有人用测试签
|
53
kenvix 23 天前
你不考虑 OCSP 对访客的体验影响?
|
54
Donaldo 23 天前
免费的坏了是你的问题
|
56
mooyo 23 天前
你觉得你作为一个普通的开发,是让集团把某个子域名的解析修改权限下放给你比较简单,还是跟老板说花几千块一年采购个泛域名证书简单?
|
57
iamshang 23 天前 via Android
大公司的域名为啥要花钱托管给 marketmonitor ,放在 namesilo 多便宜🐶
|
58
zuotun 23 天前
泛解析、兼容性、方便、时效长而且时间快到了自然会有人提醒你。
如果在域名提供商申请证书未必就会提供泛解析,自己签 Let's Encrypt 也就没有方便可言了,又是申请 token 又是安装 acme 这些的。 另外就是商业证书确实就要比免费的好用,如果都不要你自己花钱你怎么选? |
59
Rocketer 23 天前 via iPhone
@Lilalaaa 用 Let’s 和用 Google 不是一回事。
Let’s 是自管理,而用 Google 证书的多是 Google 云服务的一部分,属于 managed service ,不用自己操心。 同理,Cloudflare 的证书也是 managed ,与 Let’s 不能相提并论。 |
60
sun82kg 23 天前
群晖的 hyper back ,备份到另一台群晖的时候,不认另一台群晖的 let`s 证书,蛋疼
|
61
tairan2006 23 天前
之前在创业公司的时候用过,有兼容性问题,后来还是花钱在阿里云买的
|
62
shaojz2005 23 天前
|
63
marcong95 23 天前
或许有一些其奇奇怪怪的地方的 certbot 用起来没有那么傻瓜
例如你这帖子又提醒了我的腾讯云云函数/CDN 的证书又更新失败,我还没去手动处理。鄙人目前没有服务器的需求,就买了嘅 110/5 年的云函数挂了一个很随便的 hexo 页面保持着我个人域名的 ICP 备案不掉。 |
64
somebody1 23 天前
正欸你说吧
如果我看见一个网站有菠菜色情页面,又是 lets encrypt 办法的证书,我会直接拉黑网站变成 IOC 情报,下发到客户也不怕。 但是如果是一些大机构颁发的,OV 或 EV ,或者 PV 的证书,大厂商的颁发者,我会猜测这是被黑了之类的。 |
65
tabc2tgacd 23 天前
如果是面向国内的服务,能承受万一 oscp 服务器被墙(确实发生过)导致服务暂停这种可能的话,就用 let's encrypt 的服务没问题的。如果是面向国外的服务,那尽管用吧,应该没墙。
所以,我觉得对于大多数小公司和个人(也就暂停那会服务,能有多大影响?)来说,用这个免费的完全没问题的。 |
66
vfs 23 天前
当我们老板给我们某个产品的网站换了 Let's Encrypt 的证书的时候, 我就知道这个产品已经完了
|
67
giyear 23 天前
省的钱不是自己的,出了问题要自己背锅,正常人类对比一下风险/收益都知道怎么选了
|
68
wushenlun 23 天前 via Android
唯一的问题就是续期周期短,无法跟厂家服务配套,比如各种产品自动推送,需要自己实现
|
69
shannn 23 天前
一个公司几百个域名,一个域名几千个解析(部分是 CNAME ),频繁轮换证书会导致风险增高。还有就是一些老设备的兼容性差(或者是 app 绑定了中间或根证书),免费的证书没用
|
70
justfindu 23 天前
不是说一个域名就真的只有一个二级, 其实会有上百个二级 + CNAME , 还有 WAF , 还有 CDN , 这些你怎么更新呢. 不如一把梭. 花点小钱减少事故风险
|
71
JuSH 23 天前
自建 bitwarden 密码服务的安卓 APP 无法连接使用 letsencrypt 证书的服务。
|
72
banmuyutian 23 天前
有没有提示网站使用的是免费证书的浏览器插件?
|
75
Configuration 23 天前 2
@Rocketer #59 Google 证书也可以自管 https://pki.goog/
|
76
zjsxwc 23 天前
老系统比如 windows xp 这种不支持 Let's Encrypt 的证书,
如果你的客户是有这种老 windows 系统的支持需求就只能买商业证书, 老版本的 JVM ( Java 7u111 / 8u101 ),不支持 Let's Encrypt 的证书, 如果你的客户使用这些 2017 年前的老 jvm ,就只能买商业证书。 |
77
zorui 23 天前
大馒头,和牛排都可以填报肚子,为啥会有人花大价钱钱去买牛排吃?
|
78
nanjingwuyanzu 23 天前
@swjsj 哪家支持啊?
|
80
vicenthss 23 天前
一般来说公司没要求,就没必要替公司省了钱还把责任担自己身上。
|
81
XDiLa 23 天前
@iorilu #7
第一点 你免费的证书兼容性一定没有付费证书的兼容性强,有点低版本安卓是不识别免费 ssl 证书的 只是你没遇到过 第二点 商业证书的安全性比免费的强太多了 , 如果是他证书造成的 数据泄漏 ,他有赔付的。你免费证书能用就行了, 所以通常免费证书的使用人群就是小企业 还有个人用户,大公司都是付费的 |
82
a1274598858 23 天前
@nanjingwuyanzu #78 ZeroSSL
|
83
Cooooooode 23 天前
@nanjingwuyanzu lets encrypt
|
84
salmon5 23 天前
|
85
lqs 23 天前
@XDiLa
Google 的免费证书服务 https://pki.goog/ 能够提供低版本安卓兼容。而且 Google 自己也在用,同样是有效期 3 个月。 证书不会造成数据泄露,要么是服务器软件漏洞(跟证书无关),要么是其他公司乱签证书(跟购买证书的这个公司无关),从来没有赔付的先例。 |
88
mightybruce 23 天前 1
用 letsencrypt 一看可能就是伪造的网站,只要是商业公司或大公司都不会用这个的,个人或小公司无所谓。
|
89
crazycen 23 天前
1.很多内网服务器无法上网,无法访问 Let's Encrypt ,比如金融机构。
2.很多企业程序不支持 bot 机器人去更换证书,企业软件官方手册多数为手动更新证书。 3.自己写脚本会出错,手动三个月更新过于频繁。更新的时候,业务会中断,假如有 4 套业务,ssl 过期时间刚好分布在第 1-4 周,那每个周末都在更新证书。附带的监控系统也会产生大量告警。 |
90
markgor 23 天前
1 、虽然支持自动签发并且能挂载脚本重启服务,但是企业侧而言,如何确保执行 acme 脚本的机器没意外?
2 、如 1 所提,支持执行挂载脚本,但是如果涉及多个云服务,同时需要部署证书,只能写脚本同步到相关的服务中。但是脚本执行出错或有意外没执行,谁负责? 3 、我对接过一个项目,国内某个大厂的,他们有些节点应该还是用旧版 JDK ,不支持 lets encrypt 新的根证书。1 年前的时候,排查了很久,因为部分请求成功部分失败,并且别人对接没这个问题就我们有。最后问他们拿到日志,然后 google 了下发现是 jdk 7 没内置对应根证书的问题。 4 、就算付费的泛域名证书,价格也不贵(相对于企业而言),并且各大云厂商都支持自动部署到相关云服务。 |
91
elone 23 天前
前阵子把我的服务器改用 lets encrypt 了. 然后发现我的 macos 应用连不上我的服务器了. 后来换回了腾讯云的免费测试证书,就恢复了.
|
92
xiaomushen 23 天前
@june4 都已经大公司加监控了,那还是买个一年期的 OV 吧,不差那点钱
|
93
pckillers 23 天前
几百台服务器 各种 linux windows docker 内证书 k8s-secret 甚至只能在网页里换证书的买来的系统。
三个月让我换一次我直接要死了 |
94
wupher 23 天前
因为大家需求不一样。
这玩意儿本身就是一个 Trust ,有信任等级。 想像一下银行,保险,支付宝,微信也用 Let's Encrypt 。纯技术来讲,他们都能搞定。但是,这牌面…… |
95
jim9606 23 天前 via Android
LE 不好的地方:
1. 只有 DV ,有些特殊用途,例如 windows 驱动签名要求用 EV 证书 2. api 和证书链变更相对频繁,例如最近的变更会随机分配中间 CA 来给你的 ACME 实现上强度,也影响搞 PKP(虽然这不是什么好的实践) 3. oscp 服务器概率墙,虽然淘汰 oscp 是业界趋势,但至少 windows schannel 还在坚持这个,影响可用性 4. 证书链兼容性差些,过时系统普遍没信任 ISRG X1 根 5. 有效期短,这个楼上说了,你想下如果给甲方换一次证书要重重审批的你干不干 |
96
vfs 23 天前
@zjsxwc 我只是说我们公司产品的问题,并没有想把这个规则应用到其他公司/场景。 但是就我个人而言, 如果我来做决策, 我是不会从一个用 Let's Encrypt 证书的公司购买软件产品的。
|
97
shengmi 23 天前
不是自己的生意,不要给自己找麻烦,省的钱进不了腰包,出事全是锅
|
98
hackroad 23 天前 1
这话问的很初级,格局也很小。
类似 windows iis 也能用,为什么要用 nginx 呢; java 又不是不能用,为什么搞 php 、go 、c++等各种语言呢; 各种巴拉巴拉。 |
99
heliotrope 22 天前
这个免费证书是过不了密评的
有些要求证书提供商是在白名单里的 自用就无所谓了 |
100
irainsoft 22 天前
技术都是一样的,只比 DV 的话没有区别。OV 和 EV 的钱实际上是花钱做审计。
|