突然想到上次S1证书过期的事情，你坛可能需要这个？

huaxianyan

我一般用 acme.sh

Richardsw

俺也用acme.sh

—— 来自 S1Fun

攻心为上木之本

我用caddy

—— 来自 HUAWEI ALP-AL00, Android 10上的 S1Next-鹅版 v2.4.4.1

maritimus

俺也一样acme.sh

neotaburiss

swag docker自动更新证书 懒人的选择

计算机组成原理

acme.sh +1

乔槁

我用caddy2

Anaraky

我选择acme.sh

BTmanMk2

acme.sh +1
自己搭梯子配过trojan的应该不会不知道这个

—— 来自 OnePlus GM1917, Android 10上的 S1Next-鹅版 v2.4.4.1

Litccc

dz版本也该更到最新版，高楼bug太烦人了

结夜野棠.

我用 traefik

Nanachi

服务器一般不会轻易更换软件版本吧，就怕出了问题

暗影翔

bt面板建立网站，怎么配合脚本申请证书呢？bt面板的证书总是续不上

mirari

这个只是生成证书，非nginx或者apache的环境，比如梅林路由器上的HTTPS外网后台，更新证书还得手动操作吧

KDN_Observer

可恶，这年头已经没有certbot人了吗

月千一夜

certbot 我用了一次感觉不算简便啊

— from Sony G8441, Android 9 of S1 Next Goose v2.4.4.1

Gazzz

trustaisa一年一换不是更方便吗

— from Sony SO-02K, Android 9 of S1 Next Goose v2.4.4.1

seducer0719

mirari 发表于 2021-8-27 11:50
这个只是生成证书，非nginx或者apache的环境，比如梅林路由器上的HTTPS外网后台，更新证书还得手动操作吧 ...

可以自定义申请证书后的脚本…复制到指定目录

psvsd

没人知道Lets Encrypt证书验证服务器被好顶支希墙了，强制进行OCSP验证的客户端会在证书校验那里卡很长一段时间除非做OCSP Stapling么

5long

psvsd 发表于 2021-8-27 12:20
没人知道Lets Encrypt证书验证服务器被好顶支希墙了，强制进行OCSP验证的客户端会在证书校验那里卡很长一段 ...

如果只是给浏览器 / 移动客户端用的话, OSCP 这个需求应该不用考虑吧?

ziyuan008

这个不能一次发10年的吗？

5long

ziyuan008 发表于 2021-8-27 13:41
这个不能一次发10年的吗？

不能.
浏览器厂商已经在推动: 目前最长只支持有效期一年出头的(398 天)证书
https://www.zdnet.com/article/ap ... tificate-lifespans/

假如证书私钥泄漏了
被人拿去仿造网站 / 劫持流量
那么这个证书的有效期越短, 造成的危害越小
再就是如果想要改进加密算法
那么旧加密算法的证书也得及时淘汰才行

YoumuChan

5long 发表于 2021-8-27 13:55
不能.
浏览器厂商已经在推动: 目前最长只支持有效期一年出头的(398 天)证书
https://www.zdnet.com/artic ...

ocsp和crl不就是用来防止私钥泄漏的吗，感觉跟有效期没啥关系（

Replica

其实泥潭前几年一直用的certbot，但是版本太老，老到ACMEv1都停止支持了，上个月更新了一波，部分服务用Caddy替换Nginx自动获取证书，其他使用TrustAsia年更证书并行的方案

psvsd

5long 发表于 2021-8-27 12:37
如果只是给浏览器 / 移动客户端用的话, OSCP 这个需求应该不用考虑吧?

Apple Inc 的玩意大多是强制进行OCSP验证的
国内绝大多数都用chrome所以感知不强
用safari的撞上Lets Encrypt证书还有一部分挂了梯子

5long

psvsd 发表于 2021-8-27 15:44
Apple Inc 的玩意大多是强制进行OCSP验证的
国内绝大多数都用chrome所以感知不强
用safari的撞上Lets Enc ...

懂了
顺着这个事想起来之前 Apple 的 OCSP 服务挂了
导致各种服务不可用
还引发一波隐私泄漏的争议来着.