—— 来自 S1Fun 我用caddy
—— 来自 HUAWEI ALP-AL00, Android 10上的 S1Next-鹅版 v2.4.4.1 俺也一样acme.sh swag docker自动更新证书 懒人的选择 acme.sh +1 我用caddy2 我选择acme.sh acme.sh +1
自己搭梯子配过trojan的应该不会不知道这个
—— 来自 OnePlus GM1917, Android 10上的 S1Next-鹅版 v2.4.4.1 dz版本也该更到最新版,高楼bug太烦人了 我用 traefik 服务器一般不会轻易更换软件版本吧,就怕出了问题 bt面板建立网站,怎么配合脚本申请证书呢?bt面板的证书总是续不上 这个只是生成证书,非nginx或者apache的环境,比如梅林路由器上的HTTPS外网后台,更新证书还得手动操作吧 可恶,这年头已经没有certbot人了吗 certbot 我用了一次感觉不算简便啊
— from Sony G8441, Android 9 of S1 Next Goose v2.4.4.1 trustaisa一年一换不是更方便吗
— from Sony SO-02K, Android 9 of S1 Next Goose v2.4.4.1 mirari 发表于 2021-8-27 11:50
这个只是生成证书,非nginx或者apache的环境,比如梅林路由器上的HTTPS外网后台,更新证书还得手动操作吧 ...
可以自定义申请证书后的脚本…复制到指定目录 没人知道Lets Encrypt证书验证服务器被好顶支希墙了,强制进行OCSP验证的客户端会在证书校验那里卡很长一段时间除非做OCSP Stapling么 psvsd 发表于 2021-8-27 12:20
没人知道Lets Encrypt证书验证服务器被好顶支希墙了,强制进行OCSP验证的客户端会在证书校验那里卡很长一段 ...
如果只是给浏览器 / 移动客户端用的话, OSCP 这个需求应该不用考虑吧? 这个不能一次发10年的吗? ziyuan008 发表于 2021-8-27 13:41
这个不能一次发10年的吗?
不能.
浏览器厂商已经在推动: 目前最长只支持有效期一年出头的(398 天)证书
https://www.zdnet.com/article/apple-strong-arms-entire-ca-industry-into-one-year-certificate-lifespans/
假如证书私钥泄漏了
被人拿去仿造网站 / 劫持流量
那么这个证书的有效期越短, 造成的危害越小
再就是如果想要改进加密算法
那么旧加密算法的证书也得及时淘汰才行 5long 发表于 2021-8-27 13:55
不能.
浏览器厂商已经在推动: 目前最长只支持有效期一年出头的(398 天)证书
https://www.zdnet.com/artic ...
ocsp和crl不就是用来防止私钥泄漏的吗,感觉跟有效期没啥关系( 其实泥潭前几年一直用的certbot,但是版本太老,老到ACMEv1都停止支持了,上个月更新了一波,部分服务用Caddy替换Nginx自动获取证书,其他使用TrustAsia年更证书并行的方案 5long 发表于 2021-8-27 12:37
如果只是给浏览器 / 移动客户端用的话, OSCP 这个需求应该不用考虑吧?
Apple Inc 的玩意大多是强制进行OCSP验证的
国内绝大多数都用chrome所以感知不强
用safari的撞上Lets Encrypt证书还有一部分挂了梯子 psvsd 发表于 2021-8-27 15:44
Apple Inc 的玩意大多是强制进行OCSP验证的
国内绝大多数都用chrome所以感知不强
用safari的撞上Lets Enc ...
懂了
顺着这个事想起来之前 Apple 的 OCSP 服务挂了
导致各种服务不可用
还引发一波隐私泄漏的争议来着.
页:
[1]