这是一个创建于 3269 天前的主题,其中的信息可能已经有所发展或是发生改变。
Let ’ s Encrypt 公测了,实验了下吐槽如下:
这个项目由两个部分组成,一个是他们管理的 acme-server ,负责认证与签发证书,另一个是他们提供的 acme-client ,用来申请证书,也就是那个他们要你实际在服务器上安装运行的程序。
他们提供的 client 很蠢,我只想要一个证书申请工具,却给我来了个全家桶,一堆依赖,占用 80 端口帮你搞认证,还提供个什么鬼自动修改你的 apache/nginx 配置帮你安装证书。支持的认证方式多,然而并没有什么卯月,最实用的还是 http-01 认证,也就是丢个文件到你的网站底下。
https://github.com/diafygi/acme-tiny 这才是你真正需要的 acme-client ,只干申请证书这一件事的脚本, 200 行,无 python 和 openssl 以外的依赖。这个脚本就干了 3 件事:向 acme-server 请求进行认证,把认证文件丢在网站根目录下来证明你拥有这个网站,下载通过认证后签好的证书。
在使用了这个实用的脚本后,申请 ssl 证书被简化成了 1 分钟就能完成的事情,确实方便。
 |
1
aku 2015-12-04 16:35:23 +08:00 via Android
感谢
|
 |
2
pupboss 2015-12-04 17:04:14 +08:00
4096 位 RSA 慎用...CPU....别问我怎么知道的
|
 |
3
Daniel65536 OP @pupboss 明年初出 ecc 证书,到时候就方便了……
|
 |
4
phoenixlzx 2015-12-04 17:09:27 +08:00
现在没必要 RSA4096 吧...
(而且 Comodo 的 ECC 证书超便宜啊 |
|
5
pupboss 2015-12-04 17:13:29 +08:00
@Daniel65536 哈哈,话说, ECC 我折腾了快一周了,感觉资源消耗方面,跟安全一样, 384 位的 ECC 和 2048~4096 的 RSA 消耗的 CPU 差不多。而且安卓 2.3.x , Windows XP ,死活不支持
谷歌一搜关于 ECC 的中文文章,全特么被沃通承包了,沃通一直在说 ECC 如何好,对移动设备友好,关于移动设备的说法,英文文章并没找到。。。 |
|
6
pupboss 2015-12-04 17:14:58 +08:00
@phoenixlzx 黑五悄悄的屯了几个,白菜价的东西,居然没有黄牛
|
 |
7
GPU 2015-12-04 17:15:48 +08:00
|
|
9
GPU 2015-12-04 17:22:23 +08:00
|
|
10
Daniel65536 OP 如果希望用 rsa2048 的话, acme-tiny 项目上提到的 openssl genrsa 4096 > domain.key 这一步改成 openssl genrsa 2048 > domain.key 就好……
@pupboss 给自己 blog 用,我是直接从 css 、 js 上设定兼容标准的,既然某些客户端访问也达不到我希望的效果,那就干脆 ssl 都不让连好了,任性…… @phoenixlzx Comodo 的 ECC 好像和 Positive SSL 是同一个项目吧?价格也是一样的吧… |
|
11
phoenixlzx 2015-12-04 17:22:55 +08:00
@pupboss 毕竟没怎么张扬...
|
|
12
phoenixlzx 2015-12-04 17:23:30 +08:00
|
|
13
Daniel65536 OP |
|
14
Daniel65536 OP @phoenixlzx 然而 Comodo 家要配个 4 层证书链,实际上证书文件大小和 2048 串下来的 3 层 rsa 差不多…这样 ecc 证书短的优势就体现不出来了。
所以我一直比较期待 rapidssl 之流出 ecc 证书或者 let's encrypt 的 ecc …… |
 |
15
wy315700 2015-12-04 17:29:51 +08:00  1
|
|
16
GPU 2015-12-04 17:30:10 +08:00
@Daniel65536 在 comodo 里面 是不是有说明
```Highest strength 2048 bit signatures / 256 bit encryption ``` 这段就是直接 ecc ? 还是怎样的.我看 Free SSL 也有这段啊. |
|
17
phoenixlzx 2015-12-04 17:33:28 +08:00
@Daniel65536 ShinoSaki SDV 签 ECC 给的是个 bundle
PositiveSSL 给的是多张证书 bundle 里就两层,不知道为啥 不过串联起来的效果似乎一样 另外慢大概是网速问题... |
|
18
Daniel65536 OP @GPU 好像就是 ecc , comoda 的 ecc 就支持 256bit 的, 384bit 会被拒签
|
|
19
GPU 2015-12-04 17:36:48 +08:00
你们买的 哪里便宜了?
我直接官网看 77 刀一年呢。 |
|
20
phoenixlzx 2015-12-04 17:40:50 +08:00
|
 |
21
greenskinmonster 2015-12-04 17:54:41 +08:00
acme-tiny 必须要 80 端口,被运营商屏蔽的话,就只能用官方的 client 了
|
|
22
Daniel65536 OP @phoenixlzx 看了一眼你的 ecc 证书长度有 3 层 2891 bytes ,我用的 rsa 证书 2 层 2342 ,如果能有两层的 ecc 证书就能把长度压到 1900 byte 了……
|
|
24
pupboss 2015-12-04 18:11:09 +08:00
@Daniel65536 你还在纠结一个数据包传完证书内容😂
|
|
25
phoenixlzx 2015-12-04 18:13:10 +08:00
=。= 你们真是 sxbk
|
|
26
Daniel65536 OP |
 |
27
yangyang 2015-12-04 18:27:47 +08:00
继续用 StartSSL 。
|
 |
28
linker 2015-12-04 21:24:12 +08:00 via iPhone
下午刚从推特看到你讲的!😄
|
 |
29
tokki 2015-12-04 21:26:53 +08:00
听不懂啊 到底用还是不用阿。。
|
 |
30
lzhd24 2015-12-04 21:41:50 +08:00 via Android
BlackGear?
|
|
31
Daniel65536 OP |
 |
32
shotego 2015-12-04 23:21:23 +08:00
看来被那个 Python 依赖弄的烦的不只我一个
|
|
33
Daniel65536 OP @shotego 洁癖加强迫症伤不起啊……
|
 |
34
Quaintjade 2015-12-05 00:35:17 +08:00
@pupboss
浏览器支持 ECC 还算好的。记得 AnyConnect 不信任, OpenConnect 不支持,不知道现在版本如何。 |
|
35
Daniel65536 OP @Quaintjade OpenConnect 已经支持了, AnyConnect 还是老样子……
|
 |
36
mzer0 2015-12-05 03:06:15 +08:00
@Daniel65536 问一下, AnyConnect 能自己部署吗? 要付费订阅吗? 另外, OpenConnect 和 OpenVPN 比, 怎样?
ECC 只是安全性比较好, 速度和 RSA 一样慢. |
|
37
Daniel65536 OP @mzer0 see: https://darknode.in/network/setup-debian-ocserv/ 最大的优势是 anyconnect 更加商业,所以哪怕有办法封锁也会更慎重。当然有状态的 VPN 永远在性能与稳定性方面比不上无状态的某工具…
同等安全性 ECC 更短,这也是优势啊。速度反过来说也是好 RSA 一样快… |
 |
38
tcdw 2015-12-05 09:07:08 +08:00 via Android
折腾了几个小时来给他家的烂客户端部署环境、解决错误,结果居然有这么简单的途径。
|
 |
39
AstroProfundis 2015-12-05 09:09:29 +08:00
为啥我感觉如果性能敏感到要纠结几个包传完证书了,还不如直接上 RSA 硬件卡...
我就是路过冒个泡,请无视_(:зゝ∠)_ |
 |
40
HowardMei 2015-12-05 09:37:48 +08:00
@Daniel65536 Let's Encrypt 几层证书链?比 Comodo 好吗?
|
|
41
tcdw 2015-12-05 10:16:55 +08:00 via Android
@HowardMei 我注意过,三层,分别是自己的证书、 Let's Encrypt 的中级证书和 DST 的根证书。
看上去效力跟 Comodo 单域名的差不多。 Demo: https://tucaoda.wang |
 |
43
mengzhuo 2015-12-05 10:28:57 +08:00
|
|
44
pupboss 2015-12-05 11:19:02 +08:00
@mengzhuo 受教了,请教一个业余的问题 = =加密 ciphers 和私钥的位数,会分别给哪部分造成压力, 4096 位私钥,会给客户端造成压力吗
|
 |
45
initialdp 2015-12-05 11:50:03 +08:00 via Android
请问像 bluehost 这种虚拟空间方式能用吗?
|
|
46
wy315700 2015-12-05 11:52:23 +08:00
@mengzhuo 对于签名来说, ECC 比 RSA 快,但是对于验证来说, RSA 比 ECC 快了不止一个数量级,尤其是在手机上, ECC 证书在手机上的验证简直不能忍,
|
 |
47
mudkip 2015-12-05 11:54:31 +08:00
pacman -S letsencrypt
然后用 certonly + webroot 的方式,几分钟搞定。 Arch Linux 大法好。 |
|
48
mzer0 2015-12-05 12:08:08 +08:00 via iPhone
@Daniel65536 也就是说, OpenConnect 破解了 Anyconnect 的协议?
|
 |
49
ygmpkk 2015-12-05 12:31:45 +08:00
这时候不应该用 virtualenv 环境安装吗,很轻松的就搞定了。
|
 |
50
Tink 2015-12-05 12:34:25 +08:00
这个现在是不是主流浏览器都支持了?移动端呢?
|
 |
51
schemacs 2015-12-05 15:16:19 +08:00
@Daniel65536 "占用 80 端口",如果只是 auth 是不会的,我上周( Beta 公测前)是这样跑只会生成证书,不会去修改 apache/nginx 配置的:`./letsencrypt-auto --agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory --text auth`
|
 |
52
Actrace 2015-12-05 15:49:02 +08:00
顺路提醒一下,部分商业支付公司的内部系统可能现在还不支持此类 SSL 证书,比如 paypal.
顶多自己博客玩玩就可以辣. |
|
53
Daniel65536 OP |
|
54
schemacs 2015-12-06 14:00:53 +08:00
@Daniel65536 这个的确, Python 写的,一堆依赖,不过还好,都是在 virtualenv 里,我是厌烦它还要 apt-get update 后安装什么系统库依赖。
|
 |
55
DennyDai 2015-12-06 14:28:45 +08:00 1
在 tiny 的基础上写了个自带服务器的证书获取工具。。。
用 docker 开的,开完就关闭并且删除容器,不影响原有 nginx/apache 配置什么的。。。 用起来应该比较方便,只需要生成 account.key ,然后执行.sh 文件,去指定目录就能看见生成的证书和 key 了 https://github.com/dennydai/docker-letsencrypt |
 |
56
soyet 2015-12-11 12:53:29 +08:00
申请证书的时候出现错误
u'error': {u'type': u'urn:acme:error:connection', u'detail': u'DNS query timed out'} 为什么会出现 DNS query timed out ? |
 |
57
cpublic 2017-09-22 13:31:36 +08:00
Let's Encrypt 绝对没有说的那么差,对于中小型网站来说,Let's Encrypt 可以说是一个最具有性价比的 SSL 证书选择了!
|
Select Language