V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
vfx666
V2EX  ›  站长

各大免费申请的证书有效期从 1 年变为 3 个月了

  •  
  •   vfx666 · 174 天前 · 4136 次点击
    这是一个创建于 174 天前的主题,其中的信息可能已经有所发展或是发生改变。
    只能说吃相难看,变着法逼你买付费证书,刚看了腾讯和阿里,免费证书全部变为 3 个月有效期了,无语了
    43 条回复    2024-06-28 10:13:13 +08:00
    iceecream
        1
    iceecream  
       174 天前
    这样搞的话,是不是会生成大量的吊销证书,吊销证书列表越来越大了。
    NevadaLi
        2
    NevadaLi  
       174 天前   ❤️ 8
    这和他们关系还真不大,主要是他们的上家取消掉的。而且 Let's encrypt 有篇文章介绍为什么有必要缩短为三个月,有兴趣可以看看。
    cheng6563
        3
    cheng6563  
       174 天前
    直接 acme 生成泛域名证书,凑合用
    JamesR
        4
    JamesR  
       174 天前
    直接自己本机创建个根证书,然后用这个根证书去生成各种泛域名证书,IP 地址证书,自己单人用测试足够了,导入自己的根证书后,HTTPS 是正常的。

    多人用的话只能另想办法了。
    CatCode
        5
    CatCode  
       174 天前
    @iceecream 过期了的证书应该会在一定时间后从吊销列表里面移除吧 毕竟已经有时间已经证明它是无效证书了
    zhangshine
        6
    zhangshine  
       174 天前
    这个不是吃相难看,是新的安全趋势 。当然这个趋势给部分人带来了不便。
    qwedcxsaz
        7
    qwedcxsaz  
       174 天前   ❤️ 2
    通配符的免费证书很早以前就是 3 个月了,接了一个老板的外包一直不给结款,证书过期了用不了了,最后把款结了我才给他把证书更新了
    mxT52CRuqR6o5
        8
    mxT52CRuqR6o5  
       174 天前
    @iceecream #1 要禁用未到期的证书才需要吊销证书吧,正常过期不会影响吊销证书列表
    rimutuyuan
        9
    rimutuyuan  
       174 天前
    certbot 自动更新
    JensenQian
        10
    JensenQian  
       174 天前 via Android
    反正现在证书都自动化,一年和三个月也没什么区别
    skyrim61
        11
    skyrim61  
       174 天前
    如何搞成自动化? 证书都是写在服务器配置中
    Rennen
        12
    Rennen  
       174 天前
    @skyrim61 #11 即使不用 acme.sh ,随便一个宝塔、1panel 之类的运维面板都有自动更新证书的功能,就是拿新的替换旧的
    Curtion
        13
    Curtion  
       174 天前
    Curtion
        14
    Curtion  
       174 天前   ❤️ 1
    这次也是各大厂商要求减少有效期
    nulIptr
        15
    nulIptr  
       174 天前
    cert-manager/acme.sh 解君愁
    inhzus
        16
    inhzus  
       174 天前   ❤️ 1
    https://letsencrypt.org/2015/11/09/why-90-days
    1. 减少证书泄漏影响时间
    2. 促使更新证书自动化
    aloxaf
        17
    aloxaf  
       174 天前
    应该是为了防止出现「域名都转了几手了,当初那个证书还没过期」的情况
    xuelang
        18
    xuelang  
       174 天前
    自动更新证书,如果用 Let's encrypt 的话,用 crontab 隔段时间 renew 下证书就好。
    不过有的应用需要重启才能用新的证书,这时候自动更新后加个 hook ,重启应用。
    比如 gost ,可以参考 https://selfboot.cn/2023/12/25/how-to-use-chatgpt/
    seki
        19
    seki  
       174 天前
    这些免费域名的网站上也没给收费证书打广告呀,吃都没吃,怎么就吃相难看了
    seki
        20
    seki  
       174 天前
    笔误了,免费证书
    xiangyuecn
        21
    xiangyuecn  
       174 天前   ❤️ 1
    欢迎使用我这个网页版的 ACME:向 Let's Encrypt 、ZeroSSL 、Google 等支持 ACME 协议的证书颁发机构,免费申请获得用于 HTTPS 的 SSL/TLS 域名证书( RSA 、ECC/ECDSA ),支持多域名和通配符泛域名;只需在现代浏览器上操作即可获得 PEM 格式纯文本的域名证书,不依赖操作系统环境,无需下载和安装软件,纯手动操作,只专注于申请获得证书这一件事

    https://xiangyuecn.github.io/ACME-HTML-Web-Browser-Client/ACME-HTML-Web-Browser-Client.html
    opengps
        22
    opengps  
       174 天前
    这个事情大概已经开始快一年了
    skyrim61
        23
    skyrim61  
       174 天前
    @Rennen 我们不是宝塔, 是独立的服务器, 部署的 lnmp.
    XDiLa
        24
    XDiLa  
       174 天前
    @seki
    这种人是这样的
    skyrim61
        25
    skyrim61  
       174 天前
    是否以后付费证书也是三个月有效期了?
    Nich0la5
        26
    Nich0la5  
       174 天前
    certbot+1
    jackmod
        27
    jackmod  
       174 天前
    自用的工具站都是 caddy 自动更新
    Aluhao
        28
    Aluhao  
       174 天前
    @skyrim61 把域名 DNS 托管在 cloudflare ,它也是有 3 个月免费证书,到期自动续。
    crz
        29
    crz  
       174 天前
    @iceecream 减小了。吊销列表是因故不能用的证书,正常过期的证书只要看时间就知道无效了。

    比如一个签了 10 年的证书泄漏不能用了,放列表里,10 年后才能从列表删掉,现在只要 3 个月后就能删掉了
    ---
    不是专业人士,以上为逻辑上推断,如有错误,欢迎指正
    tool2dx
        30
    tool2dx  
       174 天前
    @crz 网站加密证书,这种证书泄漏影响极小,又不是 APP 或者 EXE 签名证书。

    照我说,就应该一年一签,特事特办。
    mooyo
        31
    mooyo  
       174 天前
    这个真挺麻烦的,有的国内云设施自己签的证书还得手动更新。。。
    body007
        32
    body007  
       174 天前
    @inhzus 这文章还说自动化普及后,还要考虑更短时间,我真的会谢
    rrfeng
        33
    rrfeng  
       174 天前
    过期和吊销没关系。
    缩短有效期主要是安全考虑。
    wonderfulcxm
        34
    wonderfulcxm  
       174 天前 via iPhone
    对有部分需要手动上传证书的共享主机或网页空间不太友好,从一年的传一次变成一年传四次。

    也不知道为什么是 3 个月,要是变成强制一个月过期是不是更安全了,哈哈。
    wsseo
        35
    wsseo  
       174 天前
    我提议搞个自己的根证书
    cnt2ex
        36
    cnt2ex  
       174 天前
    certbot+nginx ,自动更新+重启,基本就没手动管过证书。
    thetbw
        38
    thetbw  
       174 天前
    我自动更新的,腾讯云的 cdn 也有脚本可以定时更新证书
    Damn
        39
    Damn  
       174 天前
    @wonderfulcxm 之前就看到有人用 7 天短期证书规避 ocsp 服务器被墙的问题,这种短期证书浏览器不查 ocsp
    worldqiuzhi
        40
    worldqiuzhi  
       174 天前 via iPhone
    cdn 怎么更新证书
    vfx666
        41
    vfx666  
    OP
       173 天前 via iPhone
    @worldqiuzhi 同问
    hGaHLRyC
        42
    hGaHLRyC  
       173 天前
    我记得改成 3 个月是为了安全把
    反正我用的 cf 的证书,15 年。。
    Tink
        43
    Tink  
       173 天前
    这是上游要求的啊,和厂商没什么大关系
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1041 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 19:31 · PVG 03:31 · LAX 11:31 · JFK 14:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.