HTTPS证书
SSL Labs 这个工具可以测试HTTPS证书平台兼容性和安全性,并打分。
crt.sh这个工具可以按通配符域名查询所有证书的详情
原理
非对称加密的典型应用,另一个是PGP加密。首先建立TCP连接,然后通过DH密钥交换算法交换密钥,具体是先协商SSL参数,然后服务端发送公钥,客户端验证公钥后产生随机数,并通过服务端公钥加密发给服务端,服务端解密后,同样生成随机数,通过客户端公钥加密发给客户端,双方计算出一样的对称密钥用于通信。
Let's Encrypt免费证书
Let's Encrypt 是一个免费、开放,自动化的证书颁发机构,由 ISRG(Internet Security Research Group)运作。ISRG 是一个关注网络安全的公益组织,其赞助商包括 Mozilla、Akamai、Cisco、EFF、Chrome、IdenTrust、Facebook等公司。
该免费证书有效期90天,使用acme.sh脚本,60天后可以自动续期。免费的总是有限制的Limits,每个注册域名,一周最多签发50个证书,还有每周5个重复证书限制,还有每小时5次失败证书限制。触发限制后,该注册域名都不能签发Let's Encrypt证书,后果相当严重。
acme.sh
acme.sh是一个shell脚本,用于管理Let's Encrypt免费证书。原理是通过命令中指定的目录和域名,判断域名所有权,签发证书,并将这些参数保存到配置文件中,以便定时更新证书。配置文件具体在证书目录的conf结尾文件中。日常使用通过命令查看,管理证书,支持更新证书后执行重启等命令。