Let’s Encrypt免費SSL正式開放測試版

笨笨包在前段時間測試過Let’s Encrypt所頒發的免費SSL證書，那時候的SSL證書必須申請之後才能核准，昨天Let’s Encrypt在Twitter正式公告開放Beta版，也就是說不需要申請，只要在自己的Server安裝客戶端，然後執行客戶端的指令即可為自己安裝SSL。

不過雖然是正式公告開放Beta版，可是回到官網部落格中的訊息來看，最主要的內容是已經得到Facebook的贊助，成為最大的讚助夥伴。所以這年頭，還是錢比較實際…

Let’s Encrypt客戶端安裝方式

如果你有Linux作業系統就可以很容易且很方便的取得Let’s Encrypt免費SSL證書。

先將letsencrypt套件複製回本地：

git clone https://github.com/letsencrypt/letsencrypt

進入目錄

cd letsencrypt

這個指令可以看到全部的說明

./letsencrypt-auto --help

執行方式：

./letsencrypt-auto --網頁伺服器 -d 網址1 -d 網址2 -d 網址3

如果你要在證書內加入電子郵件或TOS，也可以加入 –email 和 –agree-tos 額外參數

./letsencrypt-auto certonly --網頁伺服器 --email [email protected]網址 -d 網址1 -d 網址2 -d 網址3

網頁伺服器目前支援 –apache、–nginx，也可以指定特別的目錄–standalone、–webroot、–manual

以下為笨笨包的nginx建立的daweitech.com 網站取得SSL的方式：

1. 停止nginx，一定要停止nginx或其它監聽80 port的應用，因為證書的頒發會使用80 port這個通道
2. 在letsencrypt目錄下執行：  ./letsencrypt-auto certonly –standalone –email [email protected] -d daweitech.com -d www.daweitech.com
3. 當出現
   IMPORTANT NOTES:
   – Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/daweitech.com/fullchain.pem. Your cert will
   expire on 2016-03-02. To obtain a new version of the certificate in
   the future, simply run Let’s Encrypt again.
   – If like Let’s Encrypt, please consider supporting our work by:Donating to ISRG / Let’s Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le
   就表示證書已經取得，大致的意思：存放位置為 /etc/letsencrypt/live/daweitech.com/fullchain.pem，證書於2016-03-02到期。如果需要renew，只要重新執行同樣的指令即可。
4. 將存放的證書改個名字複製到網站相對應的目錄中
5. 設定好nginx關於SSL之後，啟動nginx

這樣就取得證書了，至於如何安裝在apache或nginx伺服器，請自行Google。

目前SSL證書的有效期僅為3個月，也就是說每3個月都要重新renew一次，否則訪客瀏覽網站就會出現SSL證書過期的訊息。

目前笨笨包自行測試後所出現的問題有：

1. 在Windows作業系統執行不方便，雖然有支援Python2.7，但是在Windows下操作真的很麻煩…
2. 每3個月要renew一次也是不方便。不過只是一個指令，在cron上設定好自動就好了。
3. 允許接受的網址只有example.com www、example.com、webmail.example.com、ldap.example.com，有些不足，畢竟第二層網址不一定只有www，還可以取其它的名字。
4. 這個SSL證書只是很簡單的網頁加密功能，僅作為個人網站使用，不適合作為電子商務用途。
5. 儘管有好幾個世界知名大公司的背書，就算是贊助商Mozilla最新版的Firefox 42.0也沒有將letsencrypt加入到根證書內，這樣和那些不合規定的野雞證書沒什麼兩樣。
   2015-12-08 經過測試，電腦版Firefox 42.0已經將Let’s Encrypt內建到Firefox根目錄內。
   不過，同樣的狀況也出現在台灣的行政院頒發的SSL證書，不存在於各類主流瀏覽器的根證書目錄內，也是屬於那種不合規定的野雞證書，就是自己規定自己頒發自己爽而已。
6. 2015-12-08 自動頒發SSL證書，客戶端所在伺服器必須與網站同一個IP和伺服器，否則客戶端無法確認證書的真實性。這樣就很麻煩了，許多人用的虛擬主機都沒法申請，也沒辦法讓他人代為頒發證書！手動辦法笨笨包測試過後會再發一篇教學文章。

雖然有好幾個問題，但是仍舊要稱讚Let’s Encrypt所提供的服務，預計過不久後，http://這個網址開頭將會完全被https://所取代…

如果不懂安裝或沒有Linux系統，只要在底下留言，笨笨包可以代為取得證書再mail給你！

順便說，笨笨包的天空目前所用的SSL證書是在大陸淘寶上花了6.5元人民幣（約33元新台幣）購買的COMODO SSL。daweitech.com這個網址是笨笨包用來測試一些功能，以我兒子的名字中的一個字申請來的，只是個空網站。