Let's Encrypt 证书能用在 API 站点上么？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Certbot 使用文档

› Dehydrated

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

这是一个创建于 2996 天前的主题，其中的信息可能已经有所发展或是发生改变。

几个站用了，浏览器没问题。就是不知道能不能用在 API 站点上。不行的话还是要买了。 startssl 不靠谱了，有风险。

API

站点

StartSSL

encrypt

14 条回复 • 2016-09-03 23:44:05 +08:00

Seita

2016-09-02 21:52:27 +08:00

有什么区别？

abelyao

2016-09-02 22:03:59 +08:00 via iPhone

StartSSL 的风险能说说吗

wevsty

2016-09-02 22:05:05 +08:00

为什么不行？

suikator

2016-09-02 22:05:53 +08:00 via Android

@abelyao http://www.solidot.org/story?sid=49555

alect

2016-09-02 22:32:37 +08:00

每次看到说 wosign ， startssl 不安全的我都呵呵一笑……

sneezry

2016-09-02 22:34:32 +08:00 via Android

可以的，有交叉验证，解决兼容性问题。死皮赖脸推荐我写的小项目， https://ssl.md

Kilerd

2016-09-02 22:35:24 +08:00

@alect wosign 真的不安全，签出过 github.com 根域的证书。

lhbc

2016-09-02 22:45:53 +08:00

把 API 的访问日志拉出来，统计 User-agent 的版本，然后查下兼容性呗。

Ellison

2016-09-03 10:04:38 +08:00

我反正是不信任 wosign

ZE3kr

2016-09-03 12:20:05 +08:00 via iPhone

能用的，没有问题， HTTP 验证或 DNS 验证都行的。而且兼容性也比较好，可能没一些老牌的证书商的兼容性那么好

lets encrypt 确实会比 wosign 和 start ssl 好，首先 LE 是完全自动化的，验证系统感觉也比较靠谱，关键 LE 是免费吊销证书， StartSSL 吊销要额外花钱这点实在是太坑；而且 LE 证书是 3 个月有效期，比一年的要安全，我感觉有效期是越短越好。 @alect @abelyao

ZE3kr

2016-09-03 12:21:46 +08:00 via iPhone

wosign 搞了那么多验证方式，最终有漏洞导致都能签出 github.com 证书，不太安全，还好现在修复了吧

ranran

2016-09-03 21:06:50 +08:00

@ZE3kr 人家说的是控制了子域名就能签发出主域名的 SSL 证书，那么 github.com 的子域名或子站点你是如何拿到控制权的？要严谨啊！

ZE3kr

2016-09-03 22:39:25 +08:00

@ranran 老 GitHub 用户的 Pages 不是 GitHub.io 而是 GitHub.com 的子域名（相信老用户都知道这点），所以能签 GitHub.com ，不过说这些也没用，证书早就被贴出来了很明显就是有 github.com

为了截这张图专门把显示器转了 90 度：

证书公钥（已包含了证书链）

https://gist.github.com/ZE3kr/cffcfa23bb6e54a64058709649319e44

ranran

2016-09-03 23:44:05 +08:00

@ZE3kr 原来如此没想到还分老用户新用户一直还真是只直达 github.io 才是用户用的（二级域名）抱歉啦