来说说 letsencrypt 存在问题，以及生产环境使用的风险

go 自己实现一个

@ibiubiu 一年的证书基本都收费的，要不就有同一个域名下的数量限制。另外证书颁发机构没看到有提供 acme 接口的

之前有个经验是 let‘s 开发的支付宝回调 webhook 无法正常接收通知，同一个域名换 DV 证书就可以
不知道我是不是一个人

@estk 免费没好货吗 😂

@bli22ard #4
可能支付宝觉得 let's 安全等级不够，不认它
可能我是一个人，没听别人说过这事

Cloudflare 提供的免费证书，也是只有 3 个月。颁发组织是 Google Trust Service LLC 。

有过几次没续签上，乖乖地用了腾讯云免费 SSL ，1 年去折腾 1 次还有点省事。

直接 cloudflare 不就行了

@estk 好像是支付宝的 jdk 版本太旧了，没有内置 let's 根证书。

GTS 完事

没什么风险，付费证书不比 le 的证书更可信。像那些自主可控的 CA 根证书早都全部拉黑了。

最大的问题就是时间有点短，但毕竟免费的，也不能太挑剔。

le 之前有过一次风险，它的 OCSP 服务器托管在 akamai cdn 上，那个 akamai 节点被强了

@fox0001 cf 证书是直接申请的， 还是 http 服务托管的那种证书

@Love4Taylor gts 是什么

@Alwaysonline 这个 acme 的 endpoint 是国外的地址，有时候是访问不稳定

传统来说，商业收费证书的收费主要是来自维护 CA 证书和周边服务器的成本，以及签发所需的验证成本。
最普通的 DV 证书，一般是验证域名邮箱地址。如果是更高级的 OV EV 证书，还要验证公司资质。
DV 证书现在改用 acme 协议以后，不再需要复杂的邮箱验证服务，而是简单的 HTTP/DNS 查询即可，运营成本降低了。签发自动化，所以不再需要一年一签了，90 天甚至 30 天证书都可以做到，大大增加了安全性。（毕竟有效期越长越有泄露危险。）
至于 OV EV ，本来就要复杂的资质验证，做不到自动化签发。

如果觉得 LE 的不好用，除了用 ZeroSSL 以外，也可以用 Google 证书。我手头大部分网站都改用 Google 证书了。

SSL 证书算是典型的靠山吃山行为，一个企业花大钱把自己的根证书搞进信任链，然后就可以坐着挣用户的钱了。要不是有 LE 打破这种垄断，可能大家还在 9.9 刀一个域名，99 刀一个 SAN/野卡呢。

好像网上某些精简版的 win10 不认 letsencrypt 证书，如果不是正规途径装的电脑会打不开网站。

@msg7086 经过网上一番搜索，发现 https://kn007.net/topics/using-acme-sh-and-acme-dns-get-googles-free-wildcard-ssl-certificate/ 。google 这个证书会存在 acme endpoint 和 ocsp 被墙的问题

@loopinfor 这精简过分了

OCSP 可以解决，如果 vps 在墙外，直接在 nginx 里几行代码设置就行，如果在墙内设置个 ocsp 代理（有开源项目）
这样就不怕验证地址被墙了

大的云服务选择都有自动 renew 的免费证书了吧，我们在用 aws 的

@bli22ard 我觉得墙内本来就没有什么好选择，要在墙内用的话最好还是老老实实用国内大厂的了。

@bli22ard Google Trust Service

ocsp 装订啊

@makelove
@just1 这样都得通过代理吧，那问题又到了一个需要一个稳定的代理。😂

@msg7086 大厂自动签发麻烦，还有收费， 所以想聊聊这个事情，看看有没有 https 证书最佳实战

@bli22ard #26 可以不需要

@just1 这些免费的 oscp 地址可能会被墙吧

@bli22ard #14 最简单的一键设置

OCSP 是最微不足道的问题

有效期短于 10 天的证书，按 CA/B Baseline 不执行 OCSP 检查

所以

@bli22ard 我测过 GTS 的 OCSP ，在境内是有节点的。acme endpoint 倒是确实被墙了。

@ZeroClover acme 申请到的 letsencrypt 是三个月的。

@bli22ard 那生产需要一个稳定的代理， 才能确保 acme endpoint 访问通畅， 这个貌似又不好办到