泥潭 TLS 证书过期了

5long · 发表于 2024-9-12 00:05

用 Chrome 访问能看到地址栏左侧提示 Not Secure
过期的简略信息的截图：

看来是手动用 Let's Encrypt 申请的
没做自动化的更新

5long · 发表于 2024-9-12 00:16

现在恢复了
恢复后的有效期信息：

新证书的有效期是从上次申请后的两个月之后开始
据此猜测
是做了自动重新申请
但没自动部署到最前端的 HTTP 服务器上

忧郁的杰哥 · 发表于 2024-9-12 15:58

免费的有效期短。。。

chachi · 发表于 2024-9-12 16:03

ngnix 没重启吧

5long · 发表于 2024-9-12 16:23

忧郁的杰哥发表于 2024-9-12 15:58
免费的有效期短。。。

Google 认为 90 天有效期应该成为新的标准 / 常态（
https://www.chromium.org/Home/ch ... g-forward-together/

5long · 发表于 2024-9-12 16:25

chachi 发表于 2024-9-12 16:03
ngnix 没重启吧

假如是用 certbot 申请的
或者是用了自己糊的脚本
配置一下全自动化部署应该也不难
现在各家都在推广更短的证书有效期
也等于是在逼着系统管理员都去充分做好自动化

忧郁的杰哥 · 发表于 2024-9-12 17:10

5long 发表于 2024-9-12 16:23
Google 认为 90 天有效期应该成为新的标准 / 常态（
https://www.chromium.org/Home/chromium-security/r ...

上个月还参加过培训新的证书的标准也有关于减少有效期然后自动续期什么的新标准服务

开始之前抱着学习的态度

听完了感觉就是两个字掏钱！！

sunny_am · 发表于 2024-9-15 16:28

lets encrypt 自动续期要钱吗

论坛助手,iPhone

screeper · 发表于 2024-9-15 16:47

sunny_am 发表于 2024-9-15 16:28
lets encrypt 自动续期要钱吗

论坛助手,iPhone

let's encrypt本身并没有自动续期功能，SSL证书的签发是符合ACME协议的，所以自动续签的功能一般由acme客户端来完成，比如certbot、acme.sh、caddy之类的
目前let's encrypt和zerossl都支持免费通配符域名证书，所以只需要申请一个*.xxx.com证书就可以部署到所有二级域名上面，只需要把证书复制过去就行了。如果还需要上传到cdn服务的话可以自己写脚本调用厂商SDK，或者上github找现成的轮子，比如certd、certimate

sunny_am · 发表于 2024-9-15 17:05

本帖最后由 sunny_am 于 2024-9-15 17:07 编辑

所以说只要托管域名的支持ACME就行不用掏钱吧

5long · 发表于 2024-9-15 23:58

sunny_am 发表于 2024-9-15 17:05
所以说只要托管域名的支持ACME就行不用掏钱吧

可以这么说
具体来说是需要域名托管这边能够应对 dns-01 challenge:
https://letsencrypt.org/docs/challenge-types/#dns-01-challenge

比较有名的厂商往往有现成的客户端 / 插件支持
我自己用的是 certbot
由插件支持 cloudflare

		自动登录	找回密码
密码			立即注册

[网络] 泥潭 TLS 证书过期了