2、通过三方平台申请。如来此加密,可以申请多域名和泛域名证书,利用CNAME解析,提供给平台实现自动续签和验证,然后利用提供的api接口,将证书手动或半自动的部署到自己的服务器中。
三、证书兼容性不高
Let’s Encrypt 尽力在不影响安全性的前提下与尽可能多的软件兼容。也就是目前目前绝大部分设备都是兼容可用的。如果在 Windows XP 等较旧的平台上遇到问题,最常见的原因是没有配置好该平台支持的加密算法套件或 TLS 版本,或者该平台不支持服务器名称指示(SNI)。
也就是Let's Encrypt免费证书与其他大部分付费的证书兼容性是差不多的。一般不需要考虑兼容性问题。
可以在官网查看证书兼容列表获取更多信息。
四、苹果设备首次打开慢
主要是Let's Encrypt 验证有效性的 OSCP 域名被国内墙了,导致首次打开可能需要多等待5~10秒,这个问题本身其实与Let's Encrypt无关,如果非国内的用户,基本没有这方面的问题。
然而通过OSCP方式验证域名有效性这个方案,在很早就被谷歌给否定了,认为这个方案本身就不安全。在Chrome和Firefox上,不会出现这个问题。只有在苹果设备上,会进行OSCP方式验证,就造成了首次打开慢。
解决:
1、资金充裕的买付费的,一般不会出现这个问题。苹果设备仍然会进行OSCP验证,服务器如果没有被墙,访问会比较快。
2、WEB服务器启用OCSP Stapling功能,让服务端缓存证书状态协议信息,无需再进行OSCP验证。该方案成根本上减少了一次请求,从根本上提高了用户访问速度。目前主流的CDN厂商和主流的WEB服务器都是支持OCSP装订。
最低版本支持:Nginx1.3.7,Apache 2.3.3
判断网站是否启用了功能,可以去myssl、ssllabs网站上检查,查看OCSP Stapling或者OCSP装订是不是“YES”
五、免费的证书不安全
Let's Encrypt 是一个由非营利性组织 互联网安全研究小组(ISRG)提供的免费、自动化和开放的证书颁发机构(CA),该项目得到了众多大公司和组织的支持,如谷歌、火狐、思科、EFF、facebook等等。
证书本身是安全的,那么安全风险在哪呢?你的证书是怎么申请的!!
1、自己部署申请环境
申请泛域名证书需要进行DNS验证,就需要保存域名DNS解析的密钥,如果服务器被黑就会造成密钥泄露,导致域名被黑客利用。
同时要选择那些开源的且用的人比较多的软件,这样不会留有后门,同时要注意一定是通过官方网站下载。申请软件首推cerbot,这个也是官方推荐的。
2、通过第三方平台申请
第三方平台提供了更为简单的申请操作,可以快速的申请的证书。申请证书时,需要验证域名,如果提供了域名DNS解析密钥,域名就有可能被他人利用,这点需要注意。
其次,申请的证书有没有保存在三方平台的服务器中,比如有没有通过邮件发送证书。
解决:
来此加密网站,在提供快捷的申请功能的同时,也非常注重安全性。域名验证不需要提供相关接口密钥,由用户自行配置。同时证书下载后可以自行清除,不通过邮件发送。返回搜狐,查看更多