欢迎来到蔚可云!
打开客服菜单
蔚可云
当前位置: 模板网站 > 业界资讯 > 免费ssl证书有什么问题
免费ssl证书有什么问题
时间 : 2021-12-17 21:11 浏览量 : 3

部署相对复杂

免费的 SSL 证书一般有效期只有三个月,需要部署自动化域名验证系统(ACME协议),所以免费证书的使用还有一点复杂的。不过这个已经不是什么大问题。现在好多 web 服务器(比如 candy)都内置自动申请 Let‘s Encrypt 功能。还有 acme.sh ,只要下载一个 shell 脚本,设置好 cron 任务,就可以自动申请和更新 Let's Encrypt 证书。像是国内部分云服务厂商也支持自动申请 Let's Encrypt 证书。对于不支持的厂商(比如七牛),我们还可以用用脚本自动申请、自动上传。

但总之,部署上有一点小复杂,但已经非常容易了。

有可能被封吗?

所有的 CA 都有一个所谓的吊销证书状态查询接口,这个接口是用来查询某证书是还被吊销了。像 Let's Encrypt 这种组织在国内没有运营实体,没法在国内部署服务节点,只能使用 cdn 厂商的节点。前一阵子有一家 cdn 厂商的某个节点被污染了,影响到 Let's Encrypt 的证书验证接口。对于一些特定的客户端(主要是 ios),在启动的时候会支查询证书是否被吊销,所以会卡住大约三秒种。这当然不能接受!

这个问题其实不是什么大问题。首先,Let's Encrypt 通过更新 cdn 节点,解决了问题。这证明政府根本不是说要封杀它。其次,这个问题可以使用 OCSP Stapling 这种技术加以解决。

前面说客户端启动时会检查证书吊销状态,这本身就会增加延迟,影响用户体验。为了解决问题,人们又发明了 OCSP Stapling 技术。其本质就是在服务器端替客户端检查证书状态,这个结果也是有签名的,无法伪造。这样,只要开启 OCSP Stapling 技术,客户端就不需要额外请求 CA 提供的接口了。只要保证服务端能调用 CA 的 OCSP 查询接口就行,而这是完全可控的。

说了这么多,就是想表明两点。一,国家没有必要封锁。二,通过 OCSP Stapling 技术不但可以解决 OCSP 节点为被污染的问题,还能进一步提升用户体验。建议不论用什么证书,都上 OCSP Stapling 技术。

免费证书服务商

除了著名的 Let's Encrypt 外,大家还可以考虑使用 ZeroSSL。它不但跟 Let's Encrypt 一样支持标准的 acme 协议自动签发 DV 证书,还支持对 ip 地址签发证书,非常方便。


标签:
// language用于控制访客端展示的语言类型,language=ZHCN为中文,language=EN为英文,您可按需设置一种语言类型
cache
Processed in 0.006920 Second.