Let's Encrypt证书有哪些缺点?如何解决

目前总结在使用这个免费的SSL证书遇到的最大的缺点。相关关键词：Let's Encrypt缺点，Let's Encrypt劣势，Let's Encrypt缺陷，Let's Encrypt被屏蔽。

来此加密：在线免费申请SSL证书，支持多域名、泛域名，可以自动验证、自动重申。地址：https://letsencrypt.osfipin.com/

一、需要服务器部署环境,小白直接蒙圈

Let's Encrypt提供了申请证书的API接口，大家根据这个API开发了各种工具辅助我们申请SSL证书，比如官方推荐的cerbot，但是很多朋友看到命令行一大串配置参数就晕了。而且这些还要放在服务器上运行，与自己的web服务器配合使用，很多人也是用的虚拟主机，无法部署这样的环境。

解决：

有很多平台提供了免费申请SSL证书的服务，简化了申请的步骤，可以让每个人只要有域名，就可以申请自己的SSL证书。比如sslforfree和来此加密。

来此加密网站提供了界面化的操作，不需要部署申请环境，简化证书申请流程，平均10分钟就可以申请到证书。

二、证书有效期太短,只有90天

Let's Encrypt所有申请的免费SSL证书只有90天的有效期，需要频繁的续签，很麻烦。很多人都先直接拥有个3年的证书，跟买域名一样，这样就不需要维护了。

可惜的是：如果你的SSL证书超过398天，苹果的电脑和手机将不再信任(2020年9月1日起)。也就是以后你再也买不到2年、3年的SSL证书了，各大平台提供了各种续签服务，通过工具帮你续签及部署到环境中，让你感觉到买了一个超过1年的证书。

Let's Encrypt的证书虽然只有90天有效期，也是可以通过各种工具实现自动续签、自动部署的功能。实现这样的功能需要提供对应的API密钥等信息，如果提供了这样的信息，存在一定的安全风险。

解决：

1、利用cerbot等工具部署到自己的服务器中，通过定时任务实现自动续签和部署。

2、申请泛域名和多域名证书，一个证书包含多个域名，可以减少申请的次数。

3、通过三方平台申请。如来此加密，可以申请多域名和泛域名证书，利用CNAME解析，提供给平台实现自动续签和验证，然后利用提供的api接口，将证书手动或半自动的部署到自己的服务器中。

三、证书兼容性不高

Let’s Encrypt 尽力在不影响安全性的前提下与尽可能多的软件兼容。也就是目前目前绝大部分设备都是兼容可用的。如果在 Windows XP 等较旧的平台上遇到问题，最常见的原因是没有配置好该平台支持的加密算法套件或 TLS 版本，或者该平台不支持服务器名称指示（SNI）。

也就是Let's Encrypt免费证书与其他大部分付费的证书兼容性是差不多的。一般不需要考虑兼容性问题。

解决：

1、可以在官网查看证书兼容列表获取更多信息。

四、苹果设备首次打开慢

主要是Let's Encrypt 验证有效性的 OSCP 域名被国内墙了，导致首次打开可能需要多等待5~10秒，这个问题本身其实与Let's Encrypt无关，如果非国内的用户，基本没有这方面的问题。

然而通过OSCP方式验证域名有效性这个方案，在很早就被谷歌给否定了，认为这个方案本身就不安全。在Chrome和Firefox上，不会出现这个问题。只有在苹果设备上，会进行OSCP方式验证,就造成了首次打开慢。

解决：

1、资金充裕的买付费的，一般不会出现这个问题。苹果设备仍然会进行OSCP验证，服务器如果没有被墙，访问会比较快。

2、WEB服务器启用OCSP Stapling功能，让服务端缓存证书状态协议信息，无需再进行OSCP验证。该方案成根本上减少了一次请求，从根本上提高了用户访问速度。目前主流的CDN厂商和主流的WEB服务器都是支持OCSP装订。

最低版本支持：Nginx1.3.7，Apache 2.3.3

判断网站是否启用了功能，可以去myssl、ssllabs等网站上检查，查看OCSP Stapling或者OCSP装订是不是“YES”

五、免费的证书不安全

Let's Encrypt 是一个由非营利性组织 互联网安全研究小组(ISRG)提供的免费、自动化和开放的证书颁发机构(CA)，该项目得到了众多大公司和组织的支持，如谷歌、火狐、思科、EFF、facebook等等。
证书本身是安全的，那么安全风险在哪呢？你的证书是怎么申请的！！

1、自己部署申请环境

申请泛域名证书需要进行DNS验证，就需要保存域名DNS解析的密钥，如果服务器被黑就会造成密钥泄露，导致域名被黑客利用。

同时要选择那些开源的且用的人比较多的软件，这样不会留有后门，同时要注意一定是通过官方网站下载。申请软件首推cerbot，这个也是官方推荐的。

2、通过第三方平台申请

第三方平台提供了更为简单的申请操作，可以快速的申请的证书。申请证书时，需要验证域名，如果提供了域名DNS解析密钥，域名就有可能被他人利用，这点需要注意。

其次，申请的证书有没有保存在三方平台的服务器中，比如有没有通过邮件发送证书。

解决：

来此加密网站，在提供快捷的申请功能的同时，也非常注重安全性。域名验证不需要提供相关接口密钥，由用户自行配置。同时证书下载后可以自行清除，不通过邮件发送。