Let s Encrypt證書有哪些缺點如何解決

let's encrypt提供了申請證書的api介面，大家根據這個api開發了各種工具輔助我們申請ssl證書，比如官方推薦的cerbot，但是很多朋友看到命令列一大串配置引數就暈了。而且這些還要放在伺服器上執行，與自己的web伺服器配合使用，很多人也是用的虛擬主機，無法部署這樣的環境。

解決：

有很多平台提供了免費申請ssl證書的服務，簡化了申請的步驟，可以讓每個人只要有網域名稱，就可以申請自己的ssl證書。比如sslforfree和來此加密。

來此加密**提供了介面化的操作，不需要部署申請環境，簡化證書申請流程，平均10分鐘就可以申請到證書。

let's encrypt所有申請的免費ssl證書只有90天的有效期，需要頻繁的續簽，很麻煩。很多人都先直接擁有個3年的證書，跟買網域名稱一樣，這樣就不需要維護了。

可惜的是：如果你的ssl證書超過398天，蘋果的電腦和手機將不再信任(2023年9月1日起)。也就是以後你再也買不到2年、3年的ssl證書了，各大平台提供了各種續簽服務，通過工具幫你續簽及部署到環境中，讓你感覺到買了乙個超過1年的證書。

let's encrypt的證書雖然只有90天有效期，也是可以通過各種工具實現自動續簽、自動部署的功能。實現這樣的功能需要提供對應的api金鑰等資訊，如果提供了這樣的資訊，存在一定的安全風險。

解決：

1、利用cerbot等工具部署到自己的伺服器中，通過定時任務實現自動續簽和部署。

2、申請泛網域名稱和多網域名稱證書，乙個證書包含多個網域名稱，可以減少申請的次數。

3、通過三方平台申請。如來此加密，可以申請多網域名稱和泛網域名稱證書，利用cname解析，提供給平台實現自動續簽和驗證，然後利用提供的api介面，將證書手動或半自動的部署到自己的伺服器中。

let』s encrypt 盡力在不影響安全性的前提下與盡可能多的軟體相容。也就是目前目前絕大部分裝置都是相容可用的。如果在 windows xp 等較舊的平台上遇到問題，最常見的原因是沒有配置好該平台支援的加密演算法套件或 tls 版本，或者該平台不支援伺服器名稱指示（sni）。

也就是let's encrypt免費證書與其他大部分付費的證書相容性是差不多的。一般不需要考慮相容性問題。

解決：

1、可以在官網檢視證書相容列表獲取更多資訊。

主要是let's encrypt 驗證有效性的 oscp 網域名稱被國內牆了，導致首次開啟可能需要多等待5~10秒，這個問題本身其實與let's encrypt無關，如果非國內的使用者，基本沒有這方面的問題。

然而通過oscp方式驗證網域名稱有效性這個方案，在很早就被谷歌給否定了，認為這個方案本身就不安全。在chrome和firefox上，不會出現這個問題。只有在蘋果裝置上，會進行oscp方式驗證,就造成了首次開啟慢。

解決：

1、資金充裕的買付費的，一般不會出現這個問題。蘋果裝置仍然會進行oscp驗證，伺服器如果沒有被牆，訪問會比較快。

2、web伺服器啟用ocsp stapling功能，讓服務端快取證書狀態協議資訊，無需再進行oscp驗證。該方案成根本上減少了一次請求，從根本上提高了使用者訪問速度。目前主流的cdn廠商和主流的web伺服器都是支援ocsp裝訂。

最低版本支援：nginx1.3.7，apache 2.3.3

判斷**是否啟用了功能，可以去myssl、ssllabs等**上檢查，檢視ocsp stapling或者ocsp裝訂是不是「yes」

let's encrypt 是乙個由非營利性組織網際網路安全研究小組(isrg)提供的免費、自動化和開放的證書頒發機構(ca)，該專案得到了眾多大公司和組織的支援，如谷歌、火狐、思科、eff、facebook等等。

證書本身是安全的，那麼安全風險在哪呢？你的證書是怎麼申請的！！

1、自己部署申請環境

申請泛網域名稱證書需要進行dns驗證，就需要儲存網域名稱dns解析的金鑰，如果伺服器被黑就會造成金鑰洩露，導致網域名稱被黑客利用。

2、通過第三方平台申請

第三方平台提供了更為簡單的申請操作，可以快速的申請的證書。申請證書時，需要驗證網域名稱，如果提供了網域名稱dns解析金鑰，網域名稱就有可能被他人利用，這點需要注意。

其次，申請的證書有沒有儲存在三方平台的伺服器中，比如有沒有通過郵件傳送證書。

解決：

Let s Encrypt證書有哪些缺點 如何解決