Wildcard SSL/TLS Certificate其實唔難

想用Let’s Encrypt但個name server唔支援動態更新點算好？

眾所周知，今時今日要整張SSL/TLS certificate (安全性憑証/証書)梗係用letsencrypt.org，免費又快靚正。基本網絡安全應該係空氣同水一樣屬基本權利，certificate要用錢買呢啲rip-off business應該已成為過去式 (除非好需要EV cretificate啦，不過聽過validation過程都係九流流)。

而2018年3月Let’s Encrypt仲加咗簽發Wildcard Certificate，不過要用dns-01做authorization。

Authorization

為咗令Let’s Encrypt等支援Automatic Certificate Management Environment (ACME) protocol嘅certificate authority (CA)可以自動確認申請人係唔係實際控制相關Domain，ACME定義咗一啲challenge/response process去做到authorization。

http-01

最基本嘅authorization方式係http-01式。CA會指定你要放一個有特定隨機內容嘅file喺foobar.com/.well-known/acme-challenges/<token>下面，放好之後再通知CA檢查，從而確保你係foobar.com嘅實際擁有人，CA就會為你簽發certificate。

多個sub-domain的情況

Let’s Encrypt有rate-limit一個星期只可以簽50張certificate，不過其實一張certificate係可以包含100個FQDN。(利用certificate嘅subject alternative name/SAN去做)，只要所有FQDN都做過authorization (可以用http-01逐個做哂)，Let’s Encrypt可以擺一堆FQDN入去張certificate。

不過有佢嘅問題:

1. 張certificate會見到哂啲sub-domains，有啲場合可能會比較敏感。
2. 50*100始終係有限數，唔係無限。