一年多 Let’s Encrypt 的 SSL 证书使用有感

一年多 Let’s Encrypt 的 SSL 证书使用有感
https://www.zhihu.com/search?type=content&q=Let's Encrypt
明月登楼
草根博客站长 imydl.com 擅长服务器部署、运维、网站建设等
又拍云
等

话说我把站点 HTTPS 的主要动力其实就是因为 Let’s Encrypt 的免费 SSL 证书，在网上开始流行 HTTPS 的时候明月就开始关注了，因为之前明月一直是 DNS 劫持等等手段的“重度”受害者，甚至站点因为各种“劫持”遭到百度降权的惩罚，所以明月一直很关注网站安全方面的技术，HTTPS 可以说是明月很迫切需要的。

因为最早使用的是虚拟主机，实现 HTTPS 在当时几乎是不可能的（那时候很多虚拟主机的面板都不支持 SSL 部署的），左思右想后果断迁移至阿里云 ECS 上，边用边学的运维实践开始了，等到有了一定的基础之后就开始考虑全部站点的 HTTPS 了，这时候其实已经关注 Let’s Encrypt 很久了都，当时选择 Let’s Encrypt 主要就是因为 Let’s Encrypt 的 SSL 证书申请获取方式比较适合自己的情况，加上后来又用上了 acme.sh 脚本（可参考【Linux 下使用 acme.sh 申请和管理 Let’s Encrypt 证书】）后基本上是彻底的被 Let’s Encrypt 被征服了。

很多站长对 Let’s Encrypt 最大的诟病就是其 SSL 证书有效期只有 90 天，90 天后需要手动（这里说“手动”其实不严谨了，现在通过脚本基本上都是自动智能续期了）的续期，甚至还有不少人说 Let’s Encrypt 的 SSL 证书获取、申请方式虽然另类方便，但也让各种钓鱼网站、违法网站获取使用 SSL 证书变的更方便了。其实持这些观点的人都是没有真正使用过 Let’s Encrypt 的，下面明月结合自己这一年多来使用 Let’s Encrypt 的经验给大家阐述一下：

其实 Let’s Encrypt 的这种申请、获取、续期方式明月感觉才是真正引领着未来 SSL 证书发展潮流，因为这种依托于服务器端的 SSL 证书申请和获取有一定的技术门槛，这就造成不适谁都可以随便的就获得网站 SSL 证书，加上是申请 SSL 证书的时候需要验证服务器端所有权和管理权，自然也就保证了 SSL 证书获取途径的唯一性和安全性，那怕上述都是虚假的在 90 天的时间里肯定也会暴露这个站点是否合法等情况，只需要拒绝续期就可以了，这样一来就将此类站点所带来的危害降低到了一定的范围时间段内，就算你是钓鱼网站你最多也就是使用三个月而已，然后你就有可能无法获取到 Let’s Encrypt 证书的续期了，甚至你的服务器都会被锁定屏蔽，再加上其他的技术手段锁定所有人也不是不可能。这也是为啥 Let’s Encrypt 官方都宣布过来钓鱼网站申请 Let’s Encrypt 证书数量和次数由高到低的浮动变化，相对于那种付费或者免费有效期 1-3 年的 SSL 证书来说 Let’s Encrypt 证书这方面的优势尤为明显，可以说是免费 SSL 证书里安全系数很高的 SSL 证书了。

至于很多站长们诟病的 90 天后需要“续期”这个，其实明月感觉没有那么麻烦，因为借助第三方的工具，在服务器端完全可以做到无人值守的自动续期，这一年以来明月都是这么过来的，没有出现过一次问题，唯一可能算是“麻烦”的就是使用 CDN 的时候需要在 CDN 后台里手动导入 Let’s Encrypt 的 SSL 证书，这个问题真不是 Let’s Encrypt 的问题，目前来看也没有很好的解决办法，除非大家使用 CDN 自带的 SSL 证书，这样一来可能就会面临服务器端和 CDN 端使用的是不同的 SSL 证书，好在这样的 HTTPS 主流浏览器都是支持的。其实 CDN 里导入 Let’s Encrypt 证书无非就是为了可以服务器端、 CDN 层面都使用免费的 SSL 证书而已，免费的嘛就不要在意这些细节了。再说对于“折腾”型的博客站长们来说，三个月的时间，折腾频繁的话弄不好服务器都恢复快照 N 次了都，又何必在乎 CDN 手动导入 SSL 证书的“麻烦”呢？

在使用 Hexo 搭建博客的时候，明月就发现国内的 coding 代码托管平台的静态网页空间支持 Let’s Encrypt 证书申请和使用，据说现在 GitHub 也已经支持 Let’s Encrypt 证书了，所以未来看 CDN 平台上支持 Let’s Encrypt 证书直接申请、获取、续期也不遥远了，至少明月直到又拍云 CDN 就已经支持 Let’s Encrypt 证书的自动申请、获取和使用了（说白了就是使用 Let’s Encrypt 的 SSL 证书在又拍云 CDN 部署上可以单独申请 Let’s Encrypt 来实现 CDN 层面的自动续期）。

综上所述，明月一直以来都认为 Let’s Encrypt 是草根博客站长们站点 SSL 证书的首选，单从现在各个主流浏览器对 Let’s Encrypt 证书的支持和兼容情况就可以看出 Let’s Encrypt 在 SSL 业界的地位了，免费的同时又有极高的兼容性、安全性不选择 Let’s Encrypt 选择啥呢？当然，土豪草根博客站长们可以无视了，跟收费的 SSL 证书比较目前 Let’s Encrypt 还是有些欠缺的，虽然欠缺主要表现在“公信度”上，不过，随着时间的推移和 SSL 的高普及率，Let’s Encrypt 在业界的地位一定会“水涨船高”的，到时候这些问题还能算是问题吗？

阅读材料：
iOS开发中的HTTPS ：https://zhuanlan.zhihu.com/p/22749689

HTTPS系列干货（一）：HTTPS 原理详解 ：https://zhuanlan.zhihu.com/p/27395037

一篇文章为你深度解析HTTPS 协议 https://zhuanlan.zhihu.com/p/25430542
永久免费的SSL证书 - Let’s Encrypt 证书部署 HTTPS 并自动续期 https://ubock.com/article/25