November 18, 2014

Let’s Encrypt


多家公司(包括 Mozilla、Akamai、Cisco、EFF 和 IdenTrust)联合发布了Let's Encrypt --- 免费、自动化、开源的TLS 证书颁发机构。 2015年夏季来临。

官方网站:https://letsencrypt.org/

更新:

10月19日 官方宣布 Let's Encrypt 的 CA 已经通过认证,主流的游览器都能认识出来。现在只等客户端发布就可以注册免费的证书了。官方预计 11月发布客户端,我们到时再看看。

11月9日:官方解释为什么证书有限期只有 90 日。不用怕,因为续期是自动化的。

12月3日:官方公测

2016年2月:目前我遇到的問題,nginx 不支持自動申請,需要 webroot 指令,伺服器放一個隱藏的文件夾 .well-known 生成認證文件用的。問題來了,如果我用 nginx 反代理一個 localhost 的 nodejs app 呢?問題是訪問 / 路徑,都會轉遞到 node app。目前想到2種解決方法:

方法一,弄2個 nginx 配置文件,續期時用一個靜態的配置,指向一個指定的 root 位置,續期後換回原來的配置文件。過程不用1分鐘,也就是說網址可能要 downtime。(嗯,找個沒什麼人流的時間做這些事)

方法二,nginx 配置文件添加一個 location /.well-known/ {...} 指定 well-known 在哪就好啦。訪問這個路徑的 request 不會傳遞到 node app。不過這個要事前、網址上線前配置好。例如這樣