Let's encrypt 内测体验

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 3305 天前的主题，其中的信息可能已经有所发展或是发生改变。

有幸拿到了 Let's encrypt 的内测资格. 稍微简单介绍下这个东西和说下感受.

Let's encrypt!

官网

简单说 Let's encrypt 就是一个的证书授权中心, 能给大家提供免费的证书来使用 TLS(有时候 https/ssl 也是指同一回事,虽然它们是有区别的)

再简单点: 让你的网站快速免费用上 https

有多快?

git clone LETSENCRYPT_REPO
cd LETSENCRYPT_FOLDER
./letsencrypt run

然后在 CLI 里弹出 GUI(很绕吧)让你输入紧急邮箱, 要签的域名和 web 服务器类型.

最后把得到的证书和密钥扔到 webserver 服务器配置,打开浏览器就有绿色锁了(其他配置得当的话).

紧急邮箱: 恢复证书用
web 服务器: 可以选择 manual 或者 standalone. 我的理解是 standalone 会额外安装一个服务器完成授权认证的过程.

如果是 Apache + Debian 的组合, 连 Apache 设置都会自动配置好...

内测用户

在内测期间指令需要加额外的参数
申请地址
证书有效期 90 天, 可签四个子域

简谈

其实我并没有用过那些需要申请的证书, 比如免费一年的 startssl. 当初有过想法, 但是想到一年后怎么处理, 再加上看到 Let's encrypt 刚出现, 就决定等这个出来后再给自己的站加 https.

所以我无法比较两者

但就 Let's encrypt 来说, 这个必定会促进更多的站进入 https 时代. 毕竟太简单了. 开启, 更新, 吊销只是三个简单的指令.

MISC

Screen Shot 2015-10-20 at 10.47.26 PM.png

大大们, 小的水平有限, 有事好商量, 别黑我的服务器啊

encrypt

Let

证书

内测

49 条回复 • 2016-05-24 20:07:56 +08:00

lyragosa

2015-10-22 10:58:49 +08:00

目前是 startssl 用户。

坐等全平台浏览器信任了。

jasontse

2015-10-22 11:05:46 +08:00 via iPad

StartSSL 到期了再签一张即可

clippit

2015-10-22 11:07:57 +08:00

估计不久就会被加入某证书检测阻断豪华套餐

zent00

2015-10-22 11:27:23 +08:00

操作步骤的部分你说的应该是运行了一个基于 Ncurses 的设置向导吧，不是什么 “在 CLI 里弹出 GUI ”，这样讲真看不懂。

Hello1995

2015-10-22 11:30:12 +08:00 via Android

StartSSL 使用中…

laoyur

2015-10-22 11:31:23 +08:00

> 然后在 CLI 里弹出 GUI(很绕吧)让你输入紧急邮箱, 要签的域名和 web 服务器类型.

不用验证域名所有权？

MrGba2z

2015-10-22 11:44:52 +08:00 via iPhone

@laoyur
程序会自动检验的吧
我还没看具体的实现
反正用起来很方便

MrGba2z

2015-10-22 11:45:54 +08:00 via iPhone

@zent00
嗯对

acrisliu

2015-10-22 11:50:08 +08:00

我还是用 6 美刀的泛域名证书好了。

jedrek

2015-10-22 11:52:37 +08:00

@acrisliu 在哪买？

kozora

2015-10-22 11:54:12 +08:00

@jedrek vmbox

acrisliu

2015-10-22 11:54:15 +08:00

@jedrek vmbox 啊买 VPS 送证书以前用优惠码只要 3 美元现在优惠码失效了。

feuvan

2015-10-22 11:54:41 +08:00

@acrisliu 请问哪里买

acrisliu

2015-10-22 11:56:04 +08:00

@feuvan 楼上

dawnLuke

2015-10-22 12:11:51 +08:00

@MrGba2z
额感觉你的自我介绍的英文写的有点奇怪啊拗口啊

riaqn

2015-10-22 12:12:34 +08:00 via iPhone

@lyragosa 前几天官网告知已经所有浏览器信任了
let 's encrypt is trusted

xierch

2015-10-22 15:02:46 +08:00

这个验证域名所有权的时候，是要 bind TCP 443 吗？
那需要把 web server 暂时停掉？

zhicheng

2015-10-22 19:56:12 +08:00 via Android

https://www.textarea.com/zhicheng/fenxiang-yige-https-a-di-nginx-peizhi-320/ 分享个 nginx 的配置。

现在证书其实很便宜了，我买了三年的就 20 几刀。

MrGba2z

2015-10-22 20:45:40 +08:00 via iPhone

@xierch
是的
如果没关掉它会提醒你手动关掉

xierch

2015-10-22 22:24:03 +08:00

@MrGba2z 这有点麻烦，尤其是考虑到只有三个月的有效期..

TrustyWolf

2015-10-22 23:03:37 +08:00

可以签四个子域这个不错，个人完全够用。
就是希望有效期能长一点， 90 天这个太...

xierch

2015-10-22 23:23:00 +08:00

90 天说是为了鼓励自动化处理...

MrGba2z

2015-10-23 00:20:41 +08:00 via iPhone

@TrustyWolf
90 天是内测的设定正式推出后可能会改

其次 90 天后只要输一条指令就能自动更新了

MrGba2z

2015-10-23 03:47:50 +08:00

@xierch
@TrustyWolf
更正下
根据官方的说法，正式版会在 90 天后自动更新证书。（除非你之前选择了手动配置证书）

chinni

2015-10-23 10:33:30 +08:00

这个客户端我一直没有成功运行过...= =

xierch

2015-10-23 14:42:34 +08:00

@MrGba2z 但是自动更新的时候不需要把 TCP 443 让给它吗

amazingd

2015-10-23 14:56:01 +08:00

沃通也有免费证书，最开始 3 年的，现在好像 1 年的。网页傻瓜式生成，很方便。没人用？

MrGba2z

2015-10-23 20:45:42 +08:00 via iPhone

@xierch 如果是全自动安装的话
他有个 apache/nginx 插件
估计里面干了些什么

millionart

2015-10-27 23:47:47 +08:00

我今天也收到了，但是输入完域名后提示
Error: serverInternal :: The server experienced an internal error :: Error creating new authz

ahu

2015-11-01 16:22:38 +08:00

Command "python setup.py egg_info" failed with error code 1 in /tmp/pip-build-V2cJTN/ConfigArgParse

怎么破？

kozora

2015-11-04 19:26:11 +08:00

@millionart 我也遇到了

paicha

2015-11-08 14:07:16 +08:00

@millionart
@kozora

我也遇到了
https://github.com/letsencrypt/letsencrypt/wiki/Known-issues

wzxjohn

2015-11-08 20:43:18 +08:00

@millionart 這個錯我也遇到了，官方解釋了，因爲服務器解析你的域名超時。。。遠離 DNSPod 保平安。。。我把域名切到 Route 53 之後沒有這個問題了。。。

wzxjohn

2015-11-08 20:44:14 +08:00

@kozora
@paicha
剛才少 @ 兩個。
這個錯我也遇到了，官方解釋了，大部分是因爲服務器解析你的域名超時。。。遠離 DNSPod 保平安。。。我把域名切到 Route 53 之後沒有這個問題了。。。

paicha

2015-11-08 20:55:11 +08:00

@wzxjohn 但是习惯用 DNSPod 了，安装成功之后可以切换回来吗？

wzxjohn

2015-11-08 21:35:45 +08:00

@paicha 可以，只要过了服务端校验就可以。

paicha

2015-11-08 22:59:44 +08:00

@wzxjohn 我切换到国外域名注册商的 DNS 服务，还是不行。

在官方论坛找了下
https://community.letsencrypt.org/t/error-serverinternal-error-creating-new-authz/2181/17

「 Update: After trying many DNS services, it seems that Amazon Route 53 is the best way that would never cause this error... If you got this error, please try switch DNS to Route 53 and try again.」

晕，我又懒得去注册 Route 53 ……

wzxjohn

2015-11-08 23:33:50 +08:00

@paicha 目测是服务端超时设置的太短了，没办法。。。我是 Route 53 过的。

paicha

2015-11-08 23:41:07 +08:00

@wzxjohn 然后我现在注册了 AWS 了，卡在了完成注册上面，账户信息和支付信息都填了，就是进不去 Route 53 的页面。提交了支持，等客服解决了。

kozora

2015-11-08 23:50:48 +08:00

@wzxjohn = = 晕了我用高点 cloudxns 。。。

wzxjohn

2015-11-09 09:01:07 +08:00

@kozora 誒，沒用過這家。。。會超時麽？

wzxjohn

2015-11-09 09:17:51 +08:00

@kozora
@paicha 剛剛實測 CloudXNS 也不行=。=至少免費套餐不行。

kozora

2015-11-09 18:31:13 +08:00

@wzxjohn 一样。。。换成 HE 的 DNS 也超时。。

wzxjohn

2015-11-09 20:01:02 +08:00

@kozora 免费的目前还没找到除了 Route 53 以外的不超时的。。。不过话说 Route 53 也不算免费了。。。

kozora

2015-11-10 00:31:27 +08:00

@wzxjohn 懒得折腾了。。淘宝几块钱就搞定了= =

MrGba2z

2015-11-16 23:57:59 +08:00

@wzxjohn 我用的 linode 自带的 dns

wzxjohn

2015-11-17 09:30:59 +08:00

@MrGba2z 这个感觉不能算免费的呀。。。

littlewey

2016-01-30 07:42:22 +08:00

@MrGba2z 过期了哈。

zeroxia

2016-05-24 20:07:56 +08:00

现在稳定了没有？如果设置 cron 任务，每个月更新，靠谱吗？如果更新失败，如何自动通知？比如发个邮件给特定邮箱，这个如何自动化？