首頁 > 電腦教學 > 測試Let’s Encrypt所頒發的免費SSL證書

測試Let’s Encrypt所頒發的免費SSL證書

2015-12-04 更新

Let’s Encrypt已經發布為公開測試版,證書取得的方式有很大的改變,這篇內容僅作參考,實際的操作方式請看這篇Let’s Encrypt免費SSL正式開放測試版


 

今天笨笨包收到一封Mail,意思是說笨笨包前段時間申請的Let’s Encrypt的SSL證書已經通過,可以依照說明安裝使用了。

Let’s Encrypt是什麼機構,請自行上Google查詢,不過我大致說明一下:

我們在瀏覽網站大部分分為有加密和沒加密的內容,最簡單的判別方式就是看看網址,有加密的網址開頭是https://。沒有加密的網址是http://。

ssl

任何人在瀏覽沒有加密的網站,如果遇到有心人想知道你在看什麼內容,很容易就可以將你的網路封包抓下來就看見了。而有加密的話,就是一堆亂碼,一定要用瀏覽器或相關軟體才看得到內容。

Let’s Encrypt的就是希望將所有的網站用最少的成本裝上SSL,讓訪客可以有個安全的上網環境。而Let’s Encrypt是由Mozilla 公司、Cisco、Akamai、IdenTrust,電子前哨基金會和密西根大學合作成立的,秉持免費、自動化、安全、透明、開放和合作這六大原則行事。

好玩的是,Let’s Encrypt的網站卻不是使用自己的SSL憑證,不過看了一下,Let’s Encrypt原來使用了合作廠商IdenTrust的憑證。

2015-11-07 到目前為止,已有6838個網站通過核發SSL證書,.tw網址就有20個。

申請Let’s Encrypt SSL憑證

目前Let’s Encrypt仍是Beta測試中,所以必須申請核准之後才能使用,申請的方式很簡單,只要在這個網站輸入你的Email和網域名稱即可。至於多久會申請下來,笨笨包也早忘了什麼時候申請的,只記得起碼1個月以上。

Let's Encrypt 申請表單

目前所允許申請的網域名稱僅限於以下四種:

www.example.com
example.com www.example.com
webmail.example.com ldap.example.com
example.com www.example.com  <- 有點怪,重複了

下載Let’s Encrypt SSL憑證

當收到Email通知後就可以開始安裝Let’s Encrypt SSL憑證了,安裝Let’s Encrypt SSL憑證必須透過Let’s Encrypt官方的ACME客戶端才會核發證書,僅限於Linux作業系統,過程很簡單:

git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto –agree-dev-preview –server \
https://acme-v01.api.letsencrypt.org/directory certonly

然後畫面會要求你輸入當初申請的Email和網域名稱:

輸入網域名稱

最後出現

IMPORTANT NOTES:
– Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/590103.idv.tw/fullchain.pem. Your cert will
expire on 2016-02-02. To obtain a new version of the certificate in
the future, simply run Let’s Encrypt again.

就表示核發完成,也放置在指定的路徑中。

至於如何在自己的網站上安裝SSL,還是那句話,請自行Google…

ssl證書

目前已知缺點

笨笨包從看見Email開始摸索,直到SSL網站開始運作前後不到一個小時的時間,所以過程不會很複雜。但是有些問題也很明確:

  1. 證書僅有3個月,依照Email的說明,建議每60天更新一次,這就有點麻煩…
  2. 下載憑證的的ACME客戶端僅限Python環境,在Linux作業系統上問題不大,將規定的命令複製貼上就開始運作了,但是對於Windows系統,除非懂折騰的人,不然麻煩的要命…
  3. 此憑證只是很簡單的X1證書,簡單來說就只是讓網站有最基本的加密,不適合作為電子商務用。
  4. 2015-11-07 網友 Johnson.Wang 告知在手機上不被信任。Let’s Encrypt 官網說會與IdenTrust進行交叉簽名,以達到全部的瀏覽器都可以完全信任。
    以下圖片是笨笨包的簡體手機使用360瀏覽器的結果!
    Screenshot_2015-11-07-14-08-43

3 留言

  1. 我測試了您的憑證,發現在 iOS MAC Android 系統上都不被信任。

    • 因為我不喜歡用手機上網,所以沒試驗過在手機上有什麼問題,但是在電腦上Firefox42和Chrome都有支援!

  2. 申请有点麻烦,请问申请的表单在哪个页面。

發表留言

您的電子郵件地址將不會被公開標記為必填欄位 *

*

這個網站採用 Akismet 服務減少垃圾留言。進一步瞭解 Akismet 如何處理網站訪客的留言資料