目前總結在使用這個免費的SSL證書遇到的最大的缺點。相關關鍵詞:Let's Encrypt缺點,Let's Encrypt劣勢,Let's Encrypt缺陷,Let's Encrypt被屏蔽。
來此加密:在線免費申請SSL證書,支持多域名、泛域名,可以自動驗證、自動重申。地址:https://letsencrypt.osfipin.com/
一、需要服務器部署環境,小白直接蒙圈
Let's Encrypt提供了申請證書的API接口,大家根據這個API開發了各種工具輔助我們申請SSL證書,比如官方推薦的cerbot,但是很多朋友看到命令行一大串配置參數就暈了。而且這些還要放在服務器上運行,與自己的web服務器配合使用,很多人也是用的虛擬主機,無法部署這樣的環境。
解決:
有很多平台提供了免費申請SSL證書的服務,簡化了申請的步驟,可以讓每個人只要有域名,就可以申請自己的SSL證書。比如sslforfree和來此加密。
來此加密網站提供了界面化的操作,不需要部署申請環境,簡化證書申請流程,平均10分鍾就可以申請到證書。
二、證書有效期太短,只有90天
Let's Encrypt所有申請的免費SSL證書只有90天的有效期,需要頻繁的續簽,很麻煩。很多人都先直接擁有個3年的證書,跟買域名一樣,這樣就不需要維護了。
可惜的是:如果你的SSL證書超過398天,蘋果的電腦和手機將不再信任(2020年9月1日起)。也就是以后你再也買不到2年、3年的SSL證書了,各大平台提供了各種續簽服務,通過工具幫你續簽及部署到環境中,讓你感覺到買了一個超過1年的證書。
Let's Encrypt的證書雖然只有90天有效期,也是可以通過各種工具實現自動續簽、自動部署的功能。實現這樣的功能需要提供對應的API密鑰等信息,如果提供了這樣的信息,存在一定的安全風險。
解決:
1、利用cerbot等工具部署到自己的服務器中,通過定時任務實現自動續簽和部署。
2、申請泛域名和多域名證書,一個證書包含多個域名,可以減少申請的次數。
3、通過三方平台申請。如來此加密,可以申請多域名和泛域名證書,利用CNAME解析,提供給平台實現自動續簽和驗證,然后利用提供的api接口,將證書手動或半自動的部署到自己的服務器中。
三、證書兼容性不高
Let’s Encrypt 盡力在不影響安全性的前提下與盡可能多的軟件兼容。也就是目前目前絕大部分設備都是兼容可用的。如果在 Windows XP 等較舊的平台上遇到問題,最常見的原因是沒有配置好該平台支持的加密算法套件或 TLS 版本,或者該平台不支持服務器名稱指示(SNI)。
也就是Let's Encrypt免費證書與其他大部分付費的證書兼容性是差不多的。一般不需要考慮兼容性問題。
解決:
1、可以在官網查看證書兼容列表獲取更多信息。
四、蘋果設備首次打開慢
主要是Let's Encrypt 驗證有效性的 OSCP 域名被國內牆了,導致首次打開可能需要多等待5~10秒,這個問題本身其實與Let's Encrypt無關,如果非國內的用戶,基本沒有這方面的問題。
然而通過OSCP方式驗證域名有效性這個方案,在很早就被谷歌給否定了,認為這個方案本身就不安全。在Chrome和Firefox上,不會出現這個問題。只有在蘋果設備上,會進行OSCP方式驗證,就造成了首次打開慢。
解決:
1、資金充裕的買付費的,一般不會出現這個問題。蘋果設備仍然會進行OSCP驗證,服務器如果沒有被牆,訪問會比較快。
2、WEB服務器啟用OCSP Stapling功能,讓服務端緩存證書狀態協議信息,無需再進行OSCP驗證。該方案成根本上減少了一次請求,從根本上提高了用戶訪問速度。目前主流的CDN廠商和主流的WEB服務器都是支持OCSP裝訂。
最低版本支持:Nginx1.3.7,Apache 2.3.3
判斷網站是否啟用了功能,可以去myssl、ssllabs等網站上檢查,查看OCSP Stapling或者OCSP裝訂是不是“YES”
五、免費的證書不安全
Let's Encrypt 是一個由非營利性組織 互聯網安全研究小組(ISRG)提供的免費、自動化和開放的證書頒發機構(CA),該項目得到了眾多大公司和組織的支持,如谷歌、火狐、思科、EFF、facebook等等。
證書本身是安全的,那么安全風險在哪呢?你的證書是怎么申請的!!
1、自己部署申請環境
申請泛域名證書需要進行DNS驗證,就需要保存域名DNS解析的密鑰,如果服務器被黑就會造成密鑰泄露,導致域名被黑客利用。
同時要選擇那些開源的且用的人比較多的軟件,這樣不會留有后門,同時要注意一定是通過官方網站下載。申請軟件首推cerbot,這個也是官方推薦的。
2、通過第三方平台申請
第三方平台提供了更為簡單的申請操作,可以快速的申請的證書。申請證書時,需要驗證域名,如果提供了域名DNS解析密鑰,域名就有可能被他人利用,這點需要注意。
其次,申請的證書有沒有保存在三方平台的服務器中,比如有沒有通過郵件發送證書。
解決:
來此加密網站,在提供快捷的申請功能的同時,也非常注重安全性。域名驗證不需要提供相關接口密鑰,由用戶自行配置。同時證書下載后可以自行清除,不通過郵件發送。