V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Byleth
V2EX  ›  问与答

淘宝买 SSL 证书靠谱吗?有安全风险吗

  •  1
     
  •   Byleth · 32 天前 · 4951 次点击
    这是一个创建于 32 天前的主题,其中的信息可能已经有所发展或是发生改变。

    acme 脚本获取的免费证书,时间就仨月,太短了,导致还得手动维护一套证书部署逻辑,到期后自动重新部署到一个个服务上去

    关键是吧,有些服务,他并没有提供很方便的 SSL 证书部署接口——比如群晖就是,你得一个个去把所有群晖套件都手动替换一遍证书

    看淘宝上还有 160 块 1 年的 SSL 通配符证书,有点心动,来请教下这些渠道的证书靠谱吗?

    49 条回复    2024-11-26 11:50:00 +08:00
    zsxzy
        1
    zsxzy  
       32 天前
    淘宝买过代码证书, 用起来没啥问题
    humbass
        2
    humbass  
       32 天前 via Android
    没啥问题,记得要问下要 txt 验证的。
    rimutuyuan
        3
    rimutuyuan  
       32 天前
    160 一年,我宁愿勤快一点用 certbot
    yinmin
        4
    yinmin  
       32 天前 via iPhone   ❤️ 1
    证书是带实时 ocsp 服务的,每个浏览器第一次访问 https 网站都会向证书颁发机构发起 ocsp 查询,7 天或 14 天有效,过期再次查询。如果证书颁发机构没有做中国网络优化,用户第一次访问网站会卡住几秒。

    个人用应该 OK ,企业用要留意证书颁发机构是否有中国网络优化。
    caola
        5
    caola  
       32 天前   ❤️ 1
    用不了自动化的话,那手动申请也不太麻烦吧,

    比如我前不久弄的一个 手动申请 SSL 的站:cao.la
    iOCZS
        6
    iOCZS  
       32 天前
    可以自己更新啊,从来没操心过证书了,很爽
    panlatent
        7
    panlatent  
       32 天前 via Android
    即使买一年的,到期手动替换也很烦。家中的话感觉没有强上 https 的必要 ,可以配置个代理服务器,运行 acme 或者直接 caddy , 能做自动化同步的就同步。
    kuxuan
        8
    kuxuan  
       32 天前 via Android
    3 月换一次还好吧。5 分钟的事情
    hefish
        9
    hefish  
       32 天前
    靠谱的。
    其实内网就自签证书就行了,对外用通配符证书,certbot 自动续一下。
    COW
        10
    COW  
       32 天前 via Android
    不需要公网访问直接用自签名证书+自定义域名,随便折腾。
    lxh1983
        11
    lxh1983  
       32 天前 via iPhone   ❤️ 1
    群晖啥套件还有单独的证书? acme 带有群晖的 hook ,直接就部署好了
    ysc3839
        12
    ysc3839  
       31 天前 via Android
    一律认为不靠谱即可,完全有可能是盗刷信用卡。
    huyi23
        13
    huyi23  
       31 天前
    很好判断,看泛域名是哪个品牌的,然后去 https://cheapsslsecurity.com/ 对比下价格,如果是 5 折左右,基本盗刷,这家基本上是正规证书最便宜的一家了
    boboliu
        14
    boboliu  
       31 天前
    160 也是有赚头的,只是赚的很少,放心
    imdong
        15
    imdong  
       31 天前 via iPhone
    这种如果你提供域名和解析配置,然后对方给你 CA 签名后的证书与私钥,安全问题很大啊,你的私钥是被泄漏的!

    并且对方有能力提前终止你的证书授权。

    如果还要提供自己的 DNS API 的 Token 就更危险了。
    如果是对方给你一个某平台的兑换码,优惠券之类的当时,而不是对方去帮你申请,还可以。

    如果是你自己生成私钥与证书,将证书交予对方签名,并且自己去设置 DNS 来通过验证,也没问题?
    PluginsWorld
        16
    PluginsWorld  
       31 天前
    https://ssl.plugins-world.cn/ssl-one-years 你要不要看看这个。可以考虑一下。一年期的
    aecra
        17
    aecra  
       31 天前
    有个问题,现在是三个月部署一次,如果改成一年,会不会怎么部署都忘记了,毕竟你说东西太多了
    Corolin
        18
    Corolin  
       31 天前   ❤️ 1
    acme.sh --install-cert 有 --reloadcmd 配置 可以在证书更新以后执行 群晖的 acme 也有对应的 hook 可以直接调用的
    jenson47
        19
    jenson47  
       31 天前   ❤️ 1
    我不允许你们还不知道有这个 https://docs.certimate.me/docs/intro/
    证书更新,已经支持很多场景了。
    那么什么时候需要用到更好的证书,企业认证,以及金融交易之类的,就不要用这些免费证书
    morningtzh
        20
    morningtzh  
       31 天前
    traefik 可以自动更新。
    kokutou
        21
    kokutou  
       31 天前 via Android
    nginx 转发下 然后给 nginx 套一个证书就行了吧。。。
    也就是有的服务可能不支持转发
    yufeng0681
        22
    yufeng0681  
       31 天前
    @Corolin #18 我也是用 cscme 实现了自动更新。省事省钱了。
    kk25114
        23
    kk25114  
       31 天前
    阿里云不是可以么
    amlee
        24
    amlee  
       31 天前
    直接 caddy 做代理不行吗?简单得很
    lifanxi
        25
    lifanxi  
       31 天前
    如果只是群晖的话,其实不太麻烦,有现成的脚本能做这个事。我用群晖+acme.sh+Let's Encrypt 七年了,从来没有操心过证书过期。
    Ipsum
        26
    Ipsum  
       31 天前
    你都提到群晖了,感觉像家用。若是所有服务都在一个 lan 里,直接加个 caddy 做反向代理,内网纯 http 完事。
    flynaj
        27
    flynaj  
       31 天前 via Android
    acme.sh 用好多年了,都不是问题,生成证书后自动部署,到几台服务器,几行脚本就行。
    Immortal
        28
    Immortal  
       31 天前
    acme.sh 可以自动更新,没好好看文档吧
    tomczhen
        29
    tomczhen  
       31 天前
    今天刚在 dsm7.2 下面用 acme.sh 弄好了通配符证书,官方 wiki 里面就有说明,造成操作没遇到坑。
    lerry
        30
    lerry  
       31 天前
    群晖用自带证书,其他用 Caddy/traefik 自动配置证书,域名验证用 Cloudflare/AliyunDNS 的 api
    EnderAvaritia
        31
    EnderAvaritia  
       31 天前
    acme 可以设定定时任务阿
    haozes
        32
    haozes  
       31 天前
    @jenson47 感觉这个不错,可以部署到阿里云 SLB ,回头来试试
    vishun
        33
    vishun  
       31 天前
    弄个定时任务不就行了,难道还要手动更新吗?
    Danswerme
        34
    Danswerme  
       31 天前
    @Ipsum +1 ,我差不多也是这个思路。跑个 NginxProxyManager ,然后反代一下内网的其他网站,还可以在里面申请 Let's Encrypt 的泛域名证书,三个月到了点一下完事。
    cheng6563
        35
    cheng6563  
       31 天前   ❤️ 1
    @yinmin #4 但实际上只有 firefox 比较守规矩,其他浏览器基本都不管的
    summerLast
        36
    summerLast  
       31 天前
    caddy
    olaloong
        37
    olaloong  
       31 天前
    https://ssl.moe/ 这家单域名证书 19.9 ,泛域名证书 199 ,相对比较靠谱。他们家 FRP 服务我用了得有个 7 年了
    shenmezhidedu
        38
    shenmezhidedu  
       31 天前
    试试这个证书管理工具,可以帮你自动续签;
    https://www.17ssl.cn/ref/NGJ9WflHVg
    nash
        39
    nash  
       31 天前
    certbot 做个定时任务不就行了
    lovedebug
        40
    lovedebug  
       31 天前
    域名 dns 绑定到 cloudflare ,它可以开启自动续 ssl cert
    snuglove
        41
    snuglove  
       31 天前
    微林 到期会自动帮你获取免费证书 配合脚本可以实现自动化无缝替换。
    tagtag
        42
    tagtag  
       31 天前
    别的不知道,群晖这个肯定不是需要一个个替换,参考这个文章 https://renyili.org/post/use_acme_update_ssl_certificates/
    johnlin
        43
    johnlin  
       31 天前
    阿里云有个测试 ssl 证书,一年 70 左右。用了一年多,还算稳定
    lymanbernadette6
        44
    lymanbernadette6  
       31 天前
    letsencrypt 加自己写个脚本定期替换完事 这 160 留着吃顿好的
    coolfan
        45
    coolfan  
       31 天前
    https://github.com/certd/certd

    当然是编辑成流水线自动部署了
    docx
        46
    docx  
       31 天前 via iPhone
    手动部署确实有点麻烦,但是没办法,也还好
    gosuto
        47
    gosuto  
       31 天前
    群晖也可以跑自动脚本,或者用 nginx proxy manager 代理一下,nginx proxy manager 支持自动申请证书。
    boboliu
        48
    boboliu  
       30 天前 via Android
    @olaloong 提醒下,frp 用户可以到 frp 站的公告栏领优惠码的,别原价买了
    lxqxqxq
        49
    lxqxqxq  
       30 天前
    @kuxuan #8 其实,大把开源 shell 脚本自动续
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3350 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 11:28 · PVG 19:28 · LAX 03:28 · JFK 06:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.