周二,免费数字证书颁发机构Let's Encrypt宣布 ,ACMEv2 API正式激活,现正处于测试阶段,同时随着这一功能的推出,用户现在便可以免费获取通配符证书了。这是一项用户早已等待许久的功能,因为相比常规的单主机证书,通配符证书更为昂贵,而且也能使管理域名更简单。
通配符证书允许利用一个证书保护一个特定域名下的多个子域名。比如,如果我为我的域名bleepingcomputer.com购买了一个通配符证书,那么这个证书就可以用来保护www.bleepingcomputer.com,test.bleepingcomputer.com,example.bleepingcomputer,以及其他所有的子域名。如果一个域名持有者没有通配符证书,那么他就需要为每一个他正在运行的子域名购买一个,这对较大的组织来说,便可能会变成一个管理噩梦。
ACME API第二版本发布后,这一功能才成为了可能。ACME,又名自动证书管理环境,是Let's Encrypt和网络安全研究小组共同开发的一个协议,允许自动签发和安装SSL证书。因为在ACMEv1中,并不支持通配符域名,所以那些希望使用通配符证书的用户必须将客户端更新到能够支持ACMEv2的版本。谢天谢地,Let's Encrypt已经发布了支持ACMEv2的客户端清单。
对于那些想要使用Let's Encrypts的免费的通配符证书产品的人来说,他们将需要使用DNS-01质询类型来验证他们对域名的所有权。但在此过程中,会有这样一个挑战:当Let's Encrypts发行与你正试图为之签发证书的域名有关的令牌时,令牌必须被保存在那个域名下的 DNS TXT 记录中。只有这样,你才能向Let's Encrypt证明你是这个域名的所有者,因而才能允许获取通配符证书。
用户之前便已经能够免费获取单服务器SSL证书,现在通配符证书又加入了这一行列,这样,互联网完全使用HTTPS来运行网站就更进一步了。对于那些还不了解Let's Encrypt但又想要学习如何开始使用这一功能的人来说,他们可以在Let's Encrypt查看相关教程。
