你好!
我在 DigitalOcean 上安装了 Discourse Ready VPS。我的网站通过 HTTPS 运行,我想是使用了免费的 Let’s Encrypt SSL。这真的安全吗?我还购买了 Comodo SSL。当我想在 Comodo 面板中创建证书时,它要求我提供 CSR 代码。我该如何生成 CSR?或者我是不是哪里做错了?这是我第一次操作,请指导我。
Discourse 生成的 SSL 证书由 Let’s Encrypt 签发,非常安全。
不过,如果您想设置自己的 SSL 证书,请按照以下说明操作:
从安全角度来看,Let’s Encrypt 和 Comodo 没有任何区别。它们支持的加密方式完全相同。唯一的区别在于:一个是免费且自动化的,另一个则需要付费并手动续期。除非你有非常、非常充分的理由必须使用付费证书,否则建议继续使用 Let’s Encrypt,这样可以避免不必要的麻烦,还能省下一笔费用。
Let’s Encrypt 是永久有效的吗?还是说需要像年度续期那样每年做点什么?
每三个月自动续期。免费,且立即可用。
无需为您的 Discourse 安装购买证书。
证书就是证书*,而 Comodo 在该领域早已因持续散布针对 Let’s Encrypt 的恐惧、不确定和怀疑(FUD)而被视为不良行为者(例如,利用其自有浏览器将使用 Let’s Encrypt 证书的网站标记为“不安全”,或试图将 Let’s Encrypt 本身注册为商标)。证书本身并不决定所使用的加密类型或强度。总之,请使用 Let’s Encrypt 提供的证书;完全无需其他选择。
*嗯,大体如此。证书可分为 DV(域名验证)、OV(组织验证)或 EV(扩展验证),它们在验证内容(以及相应的成本)上有所不同。DV 证书验证其确实属于所声明的域名。OV 证书验证其属于所声明的组织(尽管除非深入查看证书详情,否则浏览器不会直接显示这一信息)。EV 证书与 OV 证书的作用相同,但验证更为严格——历史上它曾在浏览器中显示“绿色地址栏”,不过这一功能即将被移除。没有任何类型的证书能验证其所有者是“好人”,而且它们之间的加密强度完全没有任何差异。
Let’s Encrypt 通过在注册时验证 DNS 名称,有效地实现了这一点。
作为参考,Chrome 77 已移除了绿色地址栏。目前稳定版为 78.x,测试版为 79.x。
因此我提到“历史上”。它在 Chrome 中已经消失,但在 Firefox 和 IE 中仍然存在(目前我能方便测试的只有这两个浏览器)。
在 Firefox 70 中,EV 指示器也已从地址栏中移除,该版本于上个月发布。Safari 中同样已不再显示。 考虑到截至 2019 年 10 月,Internet Explorer 的市场份额仅为 1.98%,我不确定它是否还能算作浏览器。 我认为,我们可以确认 EV 证书在此时已彻底退出历史舞台。
那微软 Edge 呢?
2.05%,低于三星在其 Galaxy 手机上预装浏览器的 3.29%。
它的市场份额与 Internet Explorer 相当?这是否意味着它也不再算作真正的浏览器了?
因此,微软于 2020 年 1 月 15 日将 Edge 浏览器迁移至 Chromium 内核。
啊,是的。我们得看看情况如何。
同意。不过,看看 CA 们还会想出哪些卖点来推销它们,将会很有趣(毫无疑问,也会时而令人发笑,时而令人沮丧)。
EV 证书推出的时机并不理想,当时 PKI 尚未被广泛理解,SSL 被视为“仅适用于电子商务”,而网络钓鱼攻击正急剧上升。
我认同其建立信任的初衷,真正搞砸的是这些证书颁发机构(CA)。
Let’s Encrypt 对这些机构构成了巨大威胁,而且理由完全正当。