V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
amrom
V2EX  ›  SSL

Let's Encrypt 有哪些缺陷?

  •  
  •   amrom · 2020-03-01 18:01:25 +08:00 · 11031 次点击
    这是一个创建于 1757 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近在给自己的汪涵自签名,用的 Let's Encrypt,免费的,但是我发现用这个的一般都是个人站点这种,Let's Encrypt 有什么缺陷吗,为什么大公司不用?除了不在乎钱还能有什么原因?

    27 条回复    2024-08-12 14:58:09 +08:00
    Vhc001
        1
    Vhc001  
       2020-03-01 18:02:29 +08:00
    只有 90 天
    huangtao728
        2
    huangtao728  
       2020-03-01 18:04:30 +08:00
    汪涵: 喵喵喵??
    gwy15
        3
    gwy15  
       2020-03-01 18:04:40 +08:00   ❤️ 1
    只有 90 天其实不算什么问题,丢个 certbot 任务到 root 的 crontab 里面就可以了。大公司不用的原因可能是没有售后支持。
    Tezos
        4
    Tezos  
       2020-03-01 18:05:51 +08:00
    缺陷:免费
    Love4Taylor
        5
    Love4Taylor  
       2020-03-01 18:06:58 +08:00 via Android
    没有商业支持,并且 DV 以上的付费证书的钱也是可信度的钱(应该。
    amrom
        6
    amrom  
    OP
       2020-03-01 18:13:11 +08:00
    @huangtao728 是网站哈哈,会不会是 Let's Encrypt 支持的浏览器少的原因
    rockyou12
        7
    rockyou12  
       2020-03-01 18:13:40 +08:00
    个人用只有优点,大公司不用除了没人背锅,估计也没有迁移动力
    gwy15
        8
    gwy15  
       2020-03-01 18:14:48 +08:00   ❤️ 4
    @Love4Taylor 说的对,Letsencrypt 只提供 DV 型证书,大公司的证书你翻一下基本上全是 OV EV 的。前者只能保证通讯过程安全,不被 MITM,后两者才能保证你访问的是官方网站(不被钓鱼攻击,比如使用 unicode 域名,像 a pp le.com 这种)。后两者证书需要提供公司执照等等,还要人工参与才会分发,当然价值不菲。

    @linjinbao66 letsencrypt 支持现在非常好了,基本上不会
    Takuron
        9
    Takuron  
       2020-03-01 18:20:04 +08:00 via Android
    没有缺点,相当于为普及 https 放出的小福利,个人偷着用,大企业自然会选别的可信度更高的证书。
    IvanLi127
        10
    IvanLi127  
       2020-03-01 18:41:22 +08:00 via Android
    用的时候没有优越感? 哈哈 没感觉有啥缺陷🤣
    Stain5
        11
    Stain5  
       2020-03-01 18:56:53 +08:00
    免费的个人 DV 不香了吗
    每年重新部署一次 可靠性不是比 90 天的强多了
    hash
        12
    hash  
       2020-03-01 19:24:37 +08:00
    ECC 根证书已经鸽到不写预计时间了
    yylzcom
        13
    yylzcom  
       2020-03-01 19:33:57 +08:00   ❤️ 1
    dns.he.net 用的就是 Let's Encrypt 的证书,我觉得相对于个人来说这个足够"大"了

    https://community.letsencrypt.org/t/list-of-brands-using-letsencrypt-ssl/50000/5 这个帖子里有人列举了在用 Let's Encrypt 的几个还算比较大的站点
    https://letsencrypt.org/stats/ 这个页面里有详细的证书数据,那么多站点都用了,所以不用担心有什么坑


    大公司一般都用付费的 EV 或者 OZ 证书,这就是为什么很少有大公司用… 付费的证书是有一定保险额度的,万一发生点什么(具体没仔细研究过),是可以拿到赔偿金的

    我觉得,个人或者中小公司用 Let's Encrypt 完全没问题
    yylzcom
        14
    yylzcom  
       2020-03-01 19:34:56 +08:00
    @yylzcom #13 错字 OZ-OV
    VANHOR
        15
    VANHOR  
       2020-03-01 19:36:35 +08:00
    readhub.cn 用的也是 Let's Encrypt
    d5
        16
    d5  
       2020-03-01 19:41:23 +08:00
    有一些教程,说利用 adblock,把 letsencrypt 验证域名还有苹果的几个域名一加,设置就无法检测到更新了。。
    zi
        17
    zi  
       2020-03-01 19:49:48 +08:00
    seagroup 的招聘站用的就是 lets 证书,https://career.seagroup.com/
    vinsec
        18
    vinsec  
       2020-03-01 19:52:03 +08:00 via iPhone
    平时喜欢看网站的证书类型,如果企业网站用 let’s encrypt 我还会觉得怪怪的
    love
        19
    love  
       2020-03-01 23:00:54 +08:00
    @Stain5 自动化比一年手动一次可靠得多
    dndx
        20
    dndx  
       2020-03-01 23:04:43 +08:00
    只有 DV,没有 EV,没有 OV,没有 SLA,没有售后。

    90 天这个真的不能算是缺陷,实际上考虑域名会过期以及 key 需要经常更换反而更安全。君不见 Google 自己给自己签的也都是 90 天的证书。自动化续约即可。
    webshe11
        21
    webshe11  
       2020-03-02 01:00:10 +08:00
    如果你买国内 VPS 玩没有备案,80 443 端口全被封,同时如果你的 DNS 不支持 API,那就需要每次手动改 TXT 记录,非常痛苦
    whywhywhy
        22
    whywhywhy  
       2020-03-02 12:20:27 +08:00 via Android
    @gwy15 https 普及的时候也普及出一堆知名和不知名的网站证书过期没有人管(看到的不知道在哪反馈,管理人员知道处理但是又看不到(没看到)),还有的用上了更高级的 hsts 和 HSTS Preload List,还得找个上古时期不认识 hsts 的浏览器才能打开。。。让你想骂人的心都有

    所以,还是期限越长越好,90 天还是太少了。
    myssl
        23
    myssl  
       2020-03-04 15:43:44 +08:00
    LE 签发的 300 万证书明天开始吊销,没有售后支持,用户一脸懵逼,甚至都不知道(说好的自动更新)。明天开始用 myssl.com 来检测吧,顺便加个监控,吊销了还能给你通知。
    sn01615
        24
    sn01615  
       2020-04-15 19:03:09 +08:00
    iOS 不知道为啥给 Let's Encrypt 做了个联网验证,最接近验证那个地址国内无法访问了,然后 iOS 就直接卡死,超时。
    wewx
        25
    wewx  
       2021-09-21 11:14:03 +08:00 via iPhone
    Let's Encrypt 的 OCSP 验证服务器因不可抗拒的原因是无法访问的,这会导致在某些要求强制验证 OCSP 的浏览器下,第一次打开会变慢,具体体现在 IE 和 Safari 上;不过可以通过服务器缓存 OCSP 响应的方式来暂时解决,不过还是治标不治本 ^_^^_^^_^

    digitcert……cn
    SSL 证书价格参考:

    单域名 21 元 /年
    通配符 248 元 /年
    iugo
        26
    iugo  
       340 天前
    刚签发 Let's Encrypt DV 证书, 显示 ocsp_url 为 http://r3.o.lencr.org.

    通过 nslookup r3.o.lencr.org 223.5.5.5 查看 IPv4 是 23.44.51.35 和 23.44.51.8.

    以 23.44.51.35 为例, IP 归属为东京. ping 的结果也的确是东京 1ms 左右. 国内访问延迟大多 100ms 以内, 个别会到 200ms.
    kevinwenyu
        27
    kevinwenyu  
       132 天前
    可能是不支持泛域名吧~
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2449 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 15:47 · PVG 23:47 · LAX 07:47 · JFK 10:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.