让我们加密：从TLS-SNI-01迁移

• 问题
• 切换到简单HTTP
• 切换到DNS验证

让我们加密是一项免费服务，可生成证书来保护您的网站。它支持生成不同类型的证书，包括单域证书和通配符。此外，它还有多种方法可以对您的域进行身份验证以生成证书。

• http-01 （简单的HTTP）
• dns-01 （DNS验证）
• tls-sni-01（通过使用自签名证书进行验证- 现在已弃用）

问题

不幸的是，2018年1月发现了一个漏洞，无需事先进行身份验证/授权即可为域生成证书。例如，可以为您实际上不拥有的域生成证书。

此后不久，该协议（tls-sni-01）终止，大多数新发行的证书（新证书）被禁止使用该协议进行身份验证。

切换到简单HTTP

切换到http-01“简单HTTP”身份验证非常简单。如果您certbot-auto用于生成证书，则“加密”将已经生成新证书，或者将在下一次“续订”期间自动生成。

如果使用certbot，则应使用--preferred-challenge参数：

certbot (...) --prefered-challenge

这将告诉“让我们加密”切换到http-01。

切换到DNS验证

如果要避免所有这些麻烦，则配置“加密我们的DNS验证”相对容易。执行时certbot，添加--preferred-challenges dns为参数：

certbot -d example.com --manual --preferred-challenges dns

certbot 将打印类似于以下内容的内容：

Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:

(random_string)

Once this is deployed,
Press ENTER to continue

与DNS提供商添加记录后，点击ENTER。然后，您需要设置CRON作业以自动续订证书。使用了DNS验证后，您将不必像一样担心重定向http-01（端口80到端口443）。