我使用Let 's加密的经验

我已经切换了我所有的网站和服务器,使用来自Let 's Encrypt的证书。他们是一个非常新的证书颁发机构(负责验证和颁发加密证书的实体),他们仍然认为自己处于测试阶段。以下是我使用他们的证书两个月后的经验。

基本的费用TLS在我们进入市场之前,来自最便宜的认证机构的证书不超过6美元。但是建立它所需要的时间、精力和技术技能仍然阻碍了它们在web上的部署。我已经在“Let’s Encrypt”的封闭测试程序中颁发了4个证书,自从开放公开测试后,这个数字已经增加到10个。与传统证书颁发机构手工颁发和安装证书相比,Let 's Encrypt的过程部署证书要方便和快捷得多。

在迁移到Let’s加密之前,我只有两个网站有证书。续签这些证书总是一件麻烦事,因为两年到期的窗口时间刚好足够让人忘掉所有有关签发过程的事情。Let 's Encrypt部署的自动发布和自动更新方案将部署TLS所需的时间从大约两小时减少到仅仅几分钟。

除了加密自己的新根证书外,我们加密使用的签名证书是由IdenTrust交叉签名的。这应该可以确保大多数客户机都支持Let 's加密,即使它们不需要更新它们的证书根存储来包含Let 's加密。PlayStation 4和任天堂Wii U上的网络浏览器是值得注意的客户端,它们不支持IdenTrust的根证书,让我们通过扩展来加密。

也有大量的在线服务,不能再与我的网站,包括AppleNewsBot。这是一件喜忧参半的事情,因为机器人流量大幅下降,但我也失去了访问我最喜欢的关键词分析工具的权限。它还影响到提要订阅数量,因为许多提要阅读器和提要联合服务构建在不支持IdenTrust根证书的Java版本上。

我已经成功地联系了这些支持Let’s Encrypt的服务机构,但大多数都没有回复。最引人注目的是互联网档案添加支持

我不得不写Let’s加密客户端的一些补丁修复运行Fedora的服务器上的安装问题。除了这些最初的安装问题,客户没有给我任何问题,它的工作,正如它所宣传的。让我们加密一直添加到Fedora的稳定的包存储库。我有点担心一个被它的上游宣布为测试版的包被添加到一个发行版的稳定包存储库中。这里有些谨慎可能是可取的。

我注意到Apache httpd web服务器由于速度慢和有时反应迟钝而出现了退化OCSP服务器。在Apache启动期间,它被配置为将OCSP响应“装订”到每个证书的末尾。这样做的好处是每个用户不必重复这个过程,而且可以加快他们的连接性能。

然而,我看到一个服务器的http启动时间有20-40秒的延迟,这个服务器有十个虚拟主机,每个主机都运行它们自己的证书,这些证书需要来自Let ' s Encrypt的OCSP服务器的响应来确认证书的有效性。当重新启动服务器时,这会使您的网站宕机时间从2-8秒到近一分钟。OCSP吻合器重复如此频繁,我的日志充满了"[ssl:error] AH01972: cannot resolve address of OCSP responder OCSP .int-x1.letsencrypt.org”和“AH01941: stapling_renew_response: responder错误“错误消息。

更新():以上具体问题是由Let’s加密引起的。然而,在查看我的日志(我确实保存了那么长时间的日志)之后,我还发现一些失败是由于强制执行SELinux策略造成的。看到允许在Apache Web服务器上使用SELinux策略进行OCSP绑定详情请参阅。

我不建议任何依靠广泛兼容性支持的网站采用Let 's加密另一整年甚至更长的时间。部署它的网站应该保持可访问性HTTP以确保每个人都能到达。我选择牺牲客户端兼容性,以换取免费的安全性和压力较小的日常系统管理。这可能不是每个人的正确选择。

更新():上述建议已过时,而“Let’s Encrypt”现已适用于几乎所有网站,但对边缘及过时设备的兼容性要求极高的网站除外。