小天管理 发表于 2024年9月12日 发表于 2024年9月12日 在腾讯云后台申请的证书有效期已变为 90 天,为了减少手动续签的麻烦,可以通过自动续签来解决。目前使用的TrustAsia单域名免费证书,是通过腾讯云申请的。 已知的证书服务商 Let's Encrypt ZeroSSL TrustAsia 过去曾有过Let's Encrypt被国内网络污染的情况,考虑到TrustAsia与国内云服务器厂商有合作,因此很多国内厂商推荐使用TrustAsia。 由于平时会开发小程序,担心使用Let's Encrypt或ZeroSSL时会遇到不信任的情况或速度较慢的问题。 目前使用freessl申请的是TrustAsia DV 证书,通过 DNS 验证,服务器上部署了acme.sh脚本进行证书管理。acme.sh 的证书请求服务地址是freessl提供的,自动处理证书续签后,重新加载 Nginx ,个人使用 RSA 加密。发现freessl申请的是TrustAsia RSA DV TLS CA G3,而腾讯云申请的是TrustAsia RSA DV TLS CA G2,G2 和 G3 版本之间存在区别。 查询到freessl的背景,可能是由个人开发者或小公司运营,因此对其安全性有所担忧,并不了解其如何与TrustAsia合作提供免费的单域名和泛域名证书。 打算迁移到ZeroSSL,不确定其使用效果。如果有使用过的经验分享,特别是小程序内用户量较大的情况下,可以通过微信的WE 分析查看网络请求失败的统计数据。 微信小程序 HTTPS 证书要求 微信小程序对于 HTTPS 证书的要求如下: HTTPS 证书必须有效:证书不能过期。 证书必须被系统信任:证书的根证书必须是系统内置信任的。 证书与域名匹配:部署 SSL 证书的网站域名必须与证书中的域名一致。 证书在有效期内:证书不能过期。 证书信任链完整:服务器需要配置完整的证书信任链。 iOS 不支持自签名证书。 iOS 证书必须满足 Apple App Transport Security (ATS)的要求。 TLS 版本要求:必须支持 TLS 1.2 及以上版本。部分旧版 Android 设备可能不支持 TLS 1.2 ,因此确保服务器支持 TLS 1.2 及以下版本。 证书兼容性:部分 CA 可能不被操作系统信任,开发者应选择被微信小程序和各操作系统支持的证书。 WoSign 和 StartCom 限制:Chrome 56/57 版本内核已对 WoSign 、StartCom 的证书限制。 可以通过以下命令检查证书的有效性: openssl s_client -connect example.com:443 也可以使用其他在线工具验证证书。如 https://myssl.com/ssl.html
已推荐帖子