V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Byleth
V2EX  ›  问与答

淘宝买 SSL 证书靠谱吗?有安全风险吗

  •  1
     
  •   Byleth · 6 天前 · 4349 次点击

    acme 脚本获取的免费证书,时间就仨月,太短了,导致还得手动维护一套证书部署逻辑,到期后自动重新部署到一个个服务上去

    关键是吧,有些服务,他并没有提供很方便的 SSL 证书部署接口——比如群晖就是,你得一个个去把所有群晖套件都手动替换一遍证书

    看淘宝上还有 160 块 1 年的 SSL 通配符证书,有点心动,来请教下这些渠道的证书靠谱吗?

    49 条回复    2024-11-26 11:50:00 +08:00
    zsxzy
        1
    zsxzy  
       6 天前
    淘宝买过代码证书, 用起来没啥问题
    humbass
        2
    humbass  
       6 天前 via Android
    没啥问题,记得要问下要 txt 验证的。
    rimutuyuan
        3
    rimutuyuan  
       6 天前
    160 一年,我宁愿勤快一点用 certbot
    yinmin
        4
    yinmin  
       6 天前 via iPhone   ❤️ 1
    证书是带实时 ocsp 服务的,每个浏览器第一次访问 https 网站都会向证书颁发机构发起 ocsp 查询,7 天或 14 天有效,过期再次查询。如果证书颁发机构没有做中国网络优化,用户第一次访问网站会卡住几秒。

    个人用应该 OK ,企业用要留意证书颁发机构是否有中国网络优化。
    caola
        5
    caola  
       6 天前   ❤️ 1
    用不了自动化的话,那手动申请也不太麻烦吧,

    比如我前不久弄的一个 手动申请 SSL 的站:cao.la
    iOCZS
        6
    iOCZS  
       6 天前
    可以自己更新啊,从来没操心过证书了,很爽
    panlatent
        7
    panlatent  
       6 天前 via Android
    即使买一年的,到期手动替换也很烦。家中的话感觉没有强上 https 的必要 ,可以配置个代理服务器,运行 acme 或者直接 caddy , 能做自动化同步的就同步。
    kuxuan
        8
    kuxuan  
       6 天前 via Android
    3 月换一次还好吧。5 分钟的事情
    hefish
        9
    hefish  
       6 天前
    靠谱的。
    其实内网就自签证书就行了,对外用通配符证书,certbot 自动续一下。
    COW
        10
    COW  
       6 天前 via Android
    不需要公网访问直接用自签名证书+自定义域名,随便折腾。
    lxh1983
        11
    lxh1983  
       6 天前 via iPhone   ❤️ 1
    群晖啥套件还有单独的证书? acme 带有群晖的 hook ,直接就部署好了
    ysc3839
        12
    ysc3839  
       6 天前 via Android
    一律认为不靠谱即可,完全有可能是盗刷信用卡。
    huyi23
        13
    huyi23  
       6 天前
    很好判断,看泛域名是哪个品牌的,然后去 https://cheapsslsecurity.com/ 对比下价格,如果是 5 折左右,基本盗刷,这家基本上是正规证书最便宜的一家了
    boboliu
        14
    boboliu  
       6 天前
    160 也是有赚头的,只是赚的很少,放心
    imdong
        15
    imdong  
       6 天前 via iPhone
    这种如果你提供域名和解析配置,然后对方给你 CA 签名后的证书与私钥,安全问题很大啊,你的私钥是被泄漏的!

    并且对方有能力提前终止你的证书授权。

    如果还要提供自己的 DNS API 的 Token 就更危险了。
    如果是对方给你一个某平台的兑换码,优惠券之类的当时,而不是对方去帮你申请,还可以。

    如果是你自己生成私钥与证书,将证书交予对方签名,并且自己去设置 DNS 来通过验证,也没问题?
    PluginsWorld
        16
    PluginsWorld  
       6 天前
    https://ssl.plugins-world.cn/ssl-one-years 你要不要看看这个。可以考虑一下。一年期的
    aecra
        17
    aecra  
       6 天前
    有个问题,现在是三个月部署一次,如果改成一年,会不会怎么部署都忘记了,毕竟你说东西太多了
    Corolin
        18
    Corolin  
       6 天前   ❤️ 1
    acme.sh --install-cert 有 --reloadcmd 配置 可以在证书更新以后执行 群晖的 acme 也有对应的 hook 可以直接调用的
    jenson47
        19
    jenson47  
       6 天前   ❤️ 1
    我不允许你们还不知道有这个 https://docs.certimate.me/docs/intro/
    证书更新,已经支持很多场景了。
    那么什么时候需要用到更好的证书,企业认证,以及金融交易之类的,就不要用这些免费证书
    morningtzh
        20
    morningtzh  
       6 天前
    traefik 可以自动更新。
    kokutou
        21
    kokutou  
       6 天前 via Android
    nginx 转发下 然后给 nginx 套一个证书就行了吧。。。
    也就是有的服务可能不支持转发
    yufeng0681
        22
    yufeng0681  
       6 天前
    @Corolin #18 我也是用 cscme 实现了自动更新。省事省钱了。
    kk25114
        23
    kk25114  
       6 天前
    阿里云不是可以么
    amlee
        24
    amlee  
       6 天前
    直接 caddy 做代理不行吗?简单得很
    lifanxi
        25
    lifanxi  
       6 天前
    如果只是群晖的话,其实不太麻烦,有现成的脚本能做这个事。我用群晖+acme.sh+Let's Encrypt 七年了,从来没有操心过证书过期。
    Ipsum
        26
    Ipsum  
       6 天前
    你都提到群晖了,感觉像家用。若是所有服务都在一个 lan 里,直接加个 caddy 做反向代理,内网纯 http 完事。
    flynaj
        27
    flynaj  
       6 天前 via Android
    acme.sh 用好多年了,都不是问题,生成证书后自动部署,到几台服务器,几行脚本就行。
    Immortal
        28
    Immortal  
       6 天前
    acme.sh 可以自动更新,没好好看文档吧
    tomczhen
        29
    tomczhen  
       6 天前
    今天刚在 dsm7.2 下面用 acme.sh 弄好了通配符证书,官方 wiki 里面就有说明,造成操作没遇到坑。
    lerry
        30
    lerry  
       6 天前
    群晖用自带证书,其他用 Caddy/traefik 自动配置证书,域名验证用 Cloudflare/AliyunDNS 的 api
    EnderAvaritia
        31
    EnderAvaritia  
       6 天前
    acme 可以设定定时任务阿
    haozes
        32
    haozes  
       5 天前
    @jenson47 感觉这个不错,可以部署到阿里云 SLB ,回头来试试
    vishun
        33
    vishun  
       5 天前
    弄个定时任务不就行了,难道还要手动更新吗?
    Danswerme
        34
    Danswerme  
       5 天前
    @Ipsum +1 ,我差不多也是这个思路。跑个 NginxProxyManager ,然后反代一下内网的其他网站,还可以在里面申请 Let's Encrypt 的泛域名证书,三个月到了点一下完事。
    cheng6563
        35
    cheng6563  
       5 天前   ❤️ 1
    @yinmin #4 但实际上只有 firefox 比较守规矩,其他浏览器基本都不管的
    summerLast
        36
    summerLast  
       5 天前
    caddy
    olaloong
        37
    olaloong  
       5 天前
    https://ssl.moe/ 这家单域名证书 19.9 ,泛域名证书 199 ,相对比较靠谱。他们家 FRP 服务我用了得有个 7 年了
    shenmezhidedu
        38
    shenmezhidedu  
       5 天前
    试试这个证书管理工具,可以帮你自动续签;
    https://www.17ssl.cn/ref/NGJ9WflHVg
    nash
        39
    nash  
       5 天前
    certbot 做个定时任务不就行了
    lovedebug
        40
    lovedebug  
       5 天前
    域名 dns 绑定到 cloudflare ,它可以开启自动续 ssl cert
    snuglove
        41
    snuglove  
       5 天前
    微林 到期会自动帮你获取免费证书 配合脚本可以实现自动化无缝替换。
    tagtag
        42
    tagtag  
       5 天前
    别的不知道,群晖这个肯定不是需要一个个替换,参考这个文章 https://renyili.org/post/use_acme_update_ssl_certificates/
    johnlin
        43
    johnlin  
       5 天前
    阿里云有个测试 ssl 证书,一年 70 左右。用了一年多,还算稳定
    lymanbernadette6
        44
    lymanbernadette6  
       5 天前
    letsencrypt 加自己写个脚本定期替换完事 这 160 留着吃顿好的
    coolfan
        45
    coolfan  
       5 天前
    https://github.com/certd/certd

    当然是编辑成流水线自动部署了
    docx
        46
    docx  
       5 天前 via iPhone
    手动部署确实有点麻烦,但是没办法,也还好
    gosuto
        47
    gosuto  
       5 天前
    群晖也可以跑自动脚本,或者用 nginx proxy manager 代理一下,nginx proxy manager 支持自动申请证书。
    boboliu
        48
    boboliu  
       4 天前 via Android
    @olaloong 提醒下,frp 用户可以到 frp 站的公告栏领优惠码的,别原价买了
    lxqxqxq
        49
    lxqxqxq  
       4 天前
    @kuxuan #8 其实,大把开源 shell 脚本自动续
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1355 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 17:38 · PVG 01:38 · LAX 09:38 · JFK 12:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.