Let’s Encrypt 宣布 ACME v2 正式支持通配符证书

Let’s Encrypt 宣布 ACME v2 正式支持通配符证书。

证书周期仍然为3个月,通配符证书需要acme.sh dnsapi模式.

以前的certbot验证方式只是从单域名的DNS模式。

Let’s Encrypt 宣布 ACME v2 正式支持通配符证书。Let’s Encrypt 宣称将继续清除 Web 上采用 HTTPS 的障碍,让每个网站轻松获取管理证书。

 

v2 vs v1

ACME v2 与 v1 API 有许多不同之处,值得注意的变更:

  1. 授权/签发流程已改变
  2. JWS 请求授权以改变
  3. JWS 请求体的”resource”字段被新的 JWS 请求头“url”替换
  4. 目录端点/资源重命名

ACMEv 是 ACME 协议的更新版本,考虑到行业专家和其他组织可能希望在某天使用 ACME 协议进行证书颁发和管理,它已经通过 IETF 标准流程。

通配符证书 允许使用单个证书来保护域的所有子域。在某些情况下,通配符证书可以使证书更容易管理,以帮助使 Web 达到 100% 的 HTTPS 协议。但是对于大多数用例,Let’s Encrypt 仍然推荐使用非通配符证书。

通配符证书只能通过 ACMEv2 获得。为了将 ACMEv2 用于通配符或非通配符证书,你需要一个已更新且支持 ACMEv 的客户端。Let’s Encrypt 希望所有客户和订户转换为 ACMEv2,尽管 ACMEv1 API 还没有“报废”。

另外,通配符域必须使用 DNS-01 质询类型进行验证。这表明你需要修改 DNS TXT 记录才能演示对域的控制以获得通配符证书。

更多有关 ACME v2 和通配符证书的技术信息,请参阅此文章:

  • https://community.letsencrypt.org/t/acme-v2-production-envrionment-wildcards/55578

通配符证书解释

域名通配符证书类似 DNS 解析的泛域名概念,主域名签发的通配符证书可以在所有子域名中使用。

通配符证书的优势

域名通配符证书最大的特点就是申请之后可以部署在子域名使用, 因此对于子域名,没有必要再次申请新的证书。

而价格方面,通配符域名证书通常会比单域名证书高几倍, 不过价格高的主要原因自然是使用的便利性。

.xyz域名解析管理的坑

.xyz一直是国内比较心水的域名,作为字母域名,一直从小唱着字母歌,做着XYZ的方程式长大的中国民众来说,很多人很喜欢这个后缀域名。

在早之前注册了一个.xyz域名,每次更改解析服务商或者更改域名解析记录,总会出现注册局的根域更新很慢。

都21世纪了,还要等个好久。前天更改了域名解析服务商,三天过去了,今天查询还是找不到A记录。我也是醉了。

随便搜索了一下,.xyz的注册局确认有时候抽风不靠谱。详见:https://www.v2ex.com/t/246719

只能说各自珍重吧。

PS,用的国外的解析无法传递到国外根域,换成CloudFlare竟然好了。

See U!

 

纪念第一次被DDOS

半夜零点腾讯云突然发短信通知一台云主机被DDOS,弄得我正睡意正浓的突然被吵醒。

我那破主机还有人光顾。不过想想还要上班,懒得折腾,管他谁呢,怕它再扰我清梦,直接用手机把服务器关了。

早晨醒来,以为哪个无聊的家伙应该走了吧,我一空主机,就装了LNMP也被关照,难得啊。

于是开机。谁知上午又出现了三次,我一空网站,页面都没有,不知道谁攻击。

每次1~2分钟,从几百M的到2G的攻击带宽。

没处理过啊。一时无头脑。突然想起来以前玩VULTR和AWS时可以随时换IP。不知道腾讯云会不会有弹性IP。

发现还真有,于是直接换了IP。让DDOS见鬼去吧。