您正在查看:标签 Let's Encrypt 下的文章

放弃Let's Encrypt证书,全站更换ZeroSSL证书

# 作者:饭饭 /  分类:分享发现 /  评论:50 评论 /  时间:2020-12-02 00:00

网站一直以来都是使用的Let's Encrypt SSL证书,主要是因为Let's Encrypt浏览器兼容性较好,支持ACME自动化部署,支持泛域名证书等,但是今天起网站开始放弃Let's Encrypt证书,全站更换ZeroSSL提供的SSL证书。

为什么放弃Let's Encrypt证书?

由于Let's Encrypt证书的OCSP验证域名由于未知原因无法访问,不过网站前一阵子给服务器开启了OCSP装订,变相解决了部分浏览器访问缓慢的问题;
但是经过测试,发现有些浏览器,比如IOS端 Chromium 系的浏览器:Chrome、新版Egde等,就算服务器开启了OCSP装订,还是会去强制访问OCSP验证证书有效性,虽然超时时间只有3s,但是问题没有得到解决就很不爽; 不高兴.png
不过也没有更好的解决办法了。

并且Let's Encrypt的X3根证书也将到期,之后会使用自己签发的根证书,虽然根证书更换后OCSP无法访问的问题会得到解决,但是新的根证书时间太短导致安卓7以下以及16年以前的一些设备没办法信任这个证书导致老设备的兼容性问题;

看来只能更换SSL证书来彻底解决该问题了。 挖鼻.png

为什么选择ZeroSSL?

- 阅读剩余部分 -

Nginx开启OCSP以解决Let's Encrypt证书被DNS污染访问缓慢

# 作者:饭饭 /  分类:学习心得 /  评论:8 评论 /  时间:2020-11-23 22:05

1 起因

最近突然发现我的网站在苹果手机上Safari浏览器上第一次会访问会非常慢,但只要第一次访问后,后续的访问速度均不受影响...
这就纳闷了,网站速度我都是优化过的,为什么会存在这种情况呢?
困扰我许久,因为只有手机访问才这样,在电脑上访问速度都很快,完全没有头绪... 泪.png

2 问题研究

在多次尝试后,发现在Firefox和IE浏览器上能复现该问题,在ssl握手之前,Firefox会阻塞2s,IE浏览器会阻塞10s以上;
2020-11-23T13:01:40.png

问题能复现就好解决了;
使用Charles进行抓包,发现使用IE打开网站的时候,会去请求ocsp.int-x3.letsencrypt.org域名进行证书验证,该域名无法访问从而导致访问速度变慢;
QQ截图20201125100329.png

所以问题就出在SSL证书上面,我使用的证书全部是Let's Encrypt证书,其特点是免费、支持泛域名、并且脚本一键部署,但是Let's Encrypt证书的OCSP验证域名被DNS污染,无法解析到正确的IP地址,导致无法进行证书有效性验证。
2020-11-23T13:05:29.png

这时候有同学要问了:OCSP验证又是什么呢?

- 阅读剩余部分 -

Let's Encrypt泛域名野卡证书配置笔记

# 作者:饭饭 /  分类:学习心得 /  评论:8 评论 /  时间:2018-03-14 13:34

今天听说let's encrypt的泛域名野卡证书正式上线了,测试了那么久....
本以为是有生之年系列,不过能赶上还是美滋滋的 太开心.png
泛域名证书就比单域名证书方便的多了,一次签发所有子域名通用 只需要担心续期问题就行了
这里我用的是acme.sh自动签发的
Github:https://github.com/Neilpang/acme.sh
官方中文说明:https://github.com/Neilpang/acme.sh/wiki/%E8%AF%B4%E6%98%8E

开始配置:

1.安装acme.sh

安装很简单 一个命令就搞定了

curl  https://get.acme.sh | sh

安装成功后就自动吧acme安装进了用户目录下的.acme目录中了,并且自动把acme.sh添加进了用户环境中,可以很方便的直接使用acme.sh命令。

2.获取证书

这里我使用dns自动验证方式验证域名所有权
acme.sh 目前支持 cloudflare, dnspod, cloudxns, godaddy 以及 ovh 等数十种解析商的自动集成
具体可参考官方文档:https://github.com/Neilpang/acme.sh/blob/master/dnsapi/README.md

由于我的dns解析使用的CloudXNS 所以可以直接在我的CloudXNS 设置中获取dns api
获取自己的dns api就可以进行配置了

export CX_Key="1234"
export CX_Secret="sADDsdasdgdsf"

配置好dns api后使用下面的命令 来获取证书(请替换ffis.me为自己的域名)

acme.sh   --issue   --dns dns_cx  -d ffis.me -d *.ffis.me

需要注意的是第一个 -d 后不可直接写通配符域名*.xx.com,一定要写个单域名,第二个 -d 后面可以写泛域名。
否则可能会出现签发的证书无法被信任的情况。

到这里我们的证书就自动获取到用户目录下的.acme.sh文件夹下了,建议将证书文件复制到其他目录使用,
可用以下命令自动复制到指定目录:

acme.sh  --installcert  -d  ffis.me   \
        --key-file   /usr/local/nginx/conf/ssl/ffis.me/*.ffis.me.key \
        --fullchain-file /usr/local/nginx/conf/ssl/ffis.me/*.ffis.me.cer \
        --reloadcmd  "service nginx force-reload"

该命令会被自动记录的 以后自动更新证书的时候也会自动执行该命令的

PS:acme.sh会在60天以后自动更新证书

拖了一周又一周,Let's Encrypt野卡证书终于上线?

# 作者:饭饭 /  分类:心情随写 /  评论:0 评论 /  时间:2018-03-14 12:01

真是有趣,最近在搞毕业设计,有空就把证书都换了~ 滑稽.png
QQ截图20180314120211 (1).png
https://community.letsencrypt.org/t/acme-v2-and-wildcard-certificate-support-is-live/55579

微主页

最新文章
使用雪花算法生成16位全局唯一自增ID使用HotSwapAgent实现SpringBoot热加载将网站程序升级到了 Typecho v1.2.0-beta.2Drone下多工程项目使用Commit日志控制子工程运行Typecho 极验滑动验证码插件 Geetest动手制作一个“价值200万”的网站图标年轻人第一台DIY主机,拒绝光污染!记录一次在CentOS上升级OpenSSL版本放弃Let's Encrypt证书,全站更换ZeroSSL证书使用Bitwarden搭建属于自己的私人密码库

最新回复
1: 你 1: 1 11111: loker66fan: 兄弟有解决方案吗???我现在网站后台都进不去,关不掉啊 zimablue: 作者大大, 我的nginx是docker部署的,是需要... done: zerossl的证书博主使用wget会提示不安全吗? 勿忘初心: 您好,看你的站做的挺不错的,有没有出手的打算,想出手的... 勿忘初心: 您好,看你的站做的挺不错的,有没有出手的打算,想出手的... 罗小黑: 请问下博主,那个检测域名是否注册的代码怎么开启监控? 罗小黑: 请问如何开启域名监控?

标签

归档
2023年2022年2021年2020年2019年2018年2017年2016年2015年2014年2013年

其他
文章 RSS 评论 RSS 赞助 Sponsor