@DesignerSkyline

renew 只能 renew 自己生成的证书, 不能 renew 别人生成的.

所以, 你可以直接重新生成一个 blog.xxx.com 的证书.

即使是对于官方客户端而言, renew 实际上就是重新生成.

果然不卡...........

@cccRaim 程序员的时间就不值钱吗, 古人说: 能用钱解决的事,就不要花时间.

@imWBB 当然有, 请看 readme https://github.com/Neilpang/le/tree/master/dnsapi

给钱啊 几分钱而已

@DesignerSkyline

是啊，哈哈，　谁规定的程序员就过年一定要宅在家呢．

接下来另一个 feature 是要支持 ECDSA 证书. 这个优先级比 revoke 要高.

其实 revoke 的作用真的不大.

@DesignerSkyline

revoke 正在做, 但是最近时间比较紧. 你可以看到有个 revoke 的 branch. 现在还有 bug 不能工作.

@DesignerSkyline

```
pem == cer
```

直接重命名

>> ，第三个随机数产生之后客户端会用服务器证书中的公匙对它进行加密，这个加密是用的什么加密方法？


这个要看情况, 不一定是用 服务器的公钥加密.

先要看协商出来的 "秘钥交换算法", 现在绝大多数都使用的是 DHE 交换算法. 试用 DHE 交换对称秘钥. 这样, 客户端就不需要用公钥加密. 只是用公钥吧最后一个报做签名.

当然也有 用 RSA(或者 ECDSA) 作为 "秘钥交换算法"的, 此时服务端的证书必须是 RSA 证书或者 ECDSA, 不能是 DSA 证书. 因为 DSA 算法不能用来加密. 此时, 客户端就需要把 对称秘钥 用 RSA 加密发给 服务端. 然后服务端和客户端就拥有相同的对称秘钥了.

从此以后, 双方就可以是用对称加密算法来传输了. 一般是 AES,3des. 这在前面也会协商对称加密算法.

通信一段时间后, 双方可能会进行对称秘钥的重协商.

https://v2ex.com/t/254533#reply8

我已经支持了 dnspod 的 api 了. cloudxns 马上就来.

脚本最方便，对已有系统无入侵性。 可以轻易和主流服务集成 。 如果某项目有特殊需求除外 。

本来握手就慢， 主要是 证书链太长， 大于 mtu ， 要来回几次传输 证书握手包。 增加负担。

没错. 并且支持 CF 的 api

https://github.com/Neilpang/le

多数 nginx 都是自己编译的吧. 专门用 docker 来跑 nginx 可能不多.

@lightening 额, 思路不错. 可是有人会为了用 ssl 而 改用你的 http server 吗? 你觉得呢.

50 元 才 2G ? 移动这是活在上个世纪吗?

我联通 50m 的宽带, 每月送 6G 手机流量.

好吧，我来安利一下我的一键 https 工具： https://github.com/Neilpang/le

一键从 letsencrypt 生成证书， 并到期前自动更新。

别忘了 给 star

@Alwaysonline

试了一下 https://jscdn.upai.com/

无法建立安全连接，因为此网站使用了不受支持的协议或加密套件。导致此问题的原因通常是服务器要求使用 RC4 ，而这种加密方式根据当前标准已不够安全。