虽然标题说「生产可用」,但暂时还是仅限白名单用户,不过 LE 官方说很快会全面推出
IP 证书必须使用 shortlived 证书配置文件,这意味着
- 证书有效期为 160 小时 (大约是 6 天半)
- 证书通用名字段为空
- 不提供 TLS Client Auth EKU
同时你使用的 ACME 客户端必须支持设置 Profile 的功能,不显式指定 shortlived 配置文件的情况下无法申请 IP 证书
证书预览
This topic created in 197 days ago, the information mentioned may be changed or developed.
12 replies • 2025-11-30 21:25:00 +08:00
 |
1
liuzimin Nov 29, 2025
没看懂。我们生产环境买商业证书,用长有效期来减少失效风险不就是其中一个考虑的点吗?为嘛这有效期这么短了却还是生产可用?
|
 |
2
ETiV Nov 29, 2025 via iPhone
|
 |
3
ZeroClover OP |
 |
4
NewYear Nov 29, 2025
@liuzimin #1
恰恰相反,缩短有效期让证书更加安全,浏览器正在推进新的安全要求,即将只支持 2 个月证书了,超长时间的会不被信任(事实上之前可以一次性用很多年的证书) 毕竟……泄露了也快失效,没法利用很久。 而 IP 证书的问题更麻烦,因为很多人持有一个 IP ,但并不是真的拥有这个 IP ,所以可用期限很短。(只是租用,手续上还是属于商家的) 再一个好处就是倒逼用户“自动化上 SSL 证书,确保安全不过期” |
 |
5
Showfom PRO  1
我们打包的 n.wtf 最新 1.29.3 也支持 nginx-acme 了
https://n.wtf/ https://github.com/nginx/nginx-acme 可以使用 nginx-acme 自动签发 IP 证书 |
 |
6
unused Nov 29, 2025
zerossl 签的是 3 个月的
|
 |
7
PluginsWorld Nov 29, 2025
https://ssl.plugins-world.cn/ 我做了自动化申请 ssl 和部署到多种云资源上的系统。目前来说感觉证书有效期缩短问题不大。
|
|
8
ZeroClover OP @unused ZeroSSL ACME 不支持 IP ,API 只能免费签 3 个证书
|
 |
9
PrinceofInj Nov 30, 2025
@NewYear 在所谓的安全上是不是舍本逐末了?既然担心泄露,两个月就安全了么?为什么不直接按会话签发证书呢?可以自动化部署就是可以缩短时效的理由么?
|
|
10
NewYear Nov 30, 2025
|
 |
11
AkinoKaedeChan Nov 30, 2025 via iPhone
等不及力,但是现在似乎感恩节休假
|
 |
12
nightwitch Nov 30, 2025
@PrinceofInj 纠结这个没有用了,主要浏览器已经达成一致了,只有按着头接受了
|
Select Language