• Let’s Encrypt 簽發的憑證是否受我的瀏覽器信任?

    對於大多數瀏覽器和作業系統而言,是的。請參閱相容性列表以取得更多詳細資訊。

  • Certbot 是否會為網站 SSL/TLS 以外的任何用途簽發憑證?

    Certbot 將會取得 Let’s Encrypt 的標準網域驗證憑證,因此您可以將其用於任何使用網域名稱的伺服器,例如網站伺服器。您也可以將這些憑證用於其他 TLS 應用程式,例如 IMAPS。

  • 我可以使用 Certbot 的憑證進行程式碼簽署或電子郵件加密嗎?

    否。電子郵件加密和程式碼簽署需要與 Let's Encrypt CA 簽發的憑證不同類型的憑證。

  • Certbot 是否會在 Let’s Encrypt 的伺服器上產生或儲存我的憑證私鑰?

    否。絕對不會。

    私鑰始終在您自己的伺服器上產生和管理,而不是由 Let's Encrypt 憑證授權單位產生和管理。

  • Certbot 會簽發擴展驗證 (EV) 憑證嗎?

    Certbot 和 Let’s Encrypt 目前沒有簽發 EV 憑證的計畫。

  • 我可以取得多個網域名稱的憑證(SAN 憑證)嗎?

    是的,可以使用主體別名 (SAN) 機制將同一個憑證套用至多個不同的名稱。Certbot 會在要求時自動要求多個名稱的憑證。瀏覽器將會接受產生的憑證用於其中列出的任何網域名稱。

  • Let's Encrypt 是否簽發萬用字元憑證?

    是的!Let's Encrypt 已於 2018 年 3 月開始簽發萬用字元憑證。自 0.22.0 版起,Certbot 已新增對萬用字元憑證的支援。取得萬用字元憑證需要使用 DNS 驗證方法,透過 --manual 或透過適用於您的 DNS 提供者的 Certbot DNS 外掛程式。

    請注意,根據您安裝 Certbot 的方式,自動化程序的適用外掛程式可能尚未在您的系統上提供。有關 DNS 外掛程式的資訊,請見 Certbot 文件

    使用 --manual 取得的憑證無法使用 certbot renew 自動續約(除非您已提供自訂的授權指令碼)。但是,使用 Certbot DNS 外掛程式取得的憑證可以自動續約。為了取得無需人工干預即可續約的萬用字元憑證,您需要使用與您的 DNS 提供者支援的 API 相容的 Certbot DNS 外掛程式,或是可以在要求時變更適當 DNS 記錄的指令碼。即使您的常規 DNS 提供者不支援相容的更新機制,您也可以將 DNS 區域中的 _acme-challenge 記錄的 CNAME 委派給另一個支援的提供者。您也可以將 _acme-challenge 指向 acme-dns 執行個體。

    請注意,根據您安裝 Certbot 的方式,自動化程序的適用外掛程式可能尚未在您的系統上提供。

    有關您的情況的更多資訊,請參閱 Certbot 文件。

  • Certbot 支援我的作業系統嗎?

    我們目前有針對主要 Linux 和 BSD 變體作業系統的 Certbot 支援。還有許多其他用戶端實作可用。

  • Certbot 會支援自動設定我的網站伺服器嗎?

    本網站提供有關各種網站伺服器和作業系統支援等級的資訊,這些支援等級會隨著時間而變化和增加。在受支援的系統上,自動設定可讓您快速輕鬆地取得、安裝和自動續約憑證。

    如果您的網站伺服器不支援自動設定,您仍然可以使用 Certbot 取得憑證並手動設定您的伺服器軟體。在這種情況下,憑證將不會自動續約。

    請注意,自動設定並非必要。如果您偏好自行設定伺服器軟體,則可以停用它。

  • Certbot 需要 root/管理員權限嗎?

    是否需要 root 才能執行 Certbot 取決於您打算如何使用它。

    如果您提出此問題是因為您的主機服務供應商未授予您 root 存取權,您首先需要確保您有辦法在取得憑證時安裝它。如果答案是「否」,請要求您的主機服務供應商支援 Let's Encrypt(許多已經支援)。如果答案是「是」,或者您是為了安全考量而提出此問題,請繼續閱讀...

    webrootmanual 外掛程式在沒有 root 權限的情況下運作良好。但是,您需要為 Certbot 的工作目錄提供可寫入的路徑,方法是確保 /etc/letsencrypt//var/log/letsencrypt//var/lib/letsencrypt/ 是可寫入的,或是使用 --config-dir--logs-dir--work-dir 旗標選擇不同的目錄。

    standalone 外掛程式需要 root 才能繫結連接埠 80 或 443,但在 Linux 上,您也可以將 CAP_NET_BIND_SERVICE 授予相關的使用者。

    Certbot 的 Apache 和 Nginx 外掛程式通常需要 root 才能對網站伺服器組態進行暫時性和永久性變更,並執行這些伺服器的優雅重新載入事件。

    certbot-auto 指令碼的運作假設會使用 root 權限,以便在需要時安裝 OS 相依性,並且因為它需要支援上述所有外掛程式。Certbot 的封裝版本更具彈性,並且一些建置這些封裝的團隊正在努力讓 Cerbot 盡可能以群組權限而不是 root 權限執行。

  • 我可以使用現有的私鑰或憑證簽署請求 (CSR) 與 Certbot 嗎?

    是的。您可以取得現有 CSR 的憑證,這表示您可以使用自己的私鑰產生自己的 CSR。但是,Certbot 不會接受私鑰作為輸入並為您產生 CSR。

  • 目前的速率限制是什麼?

    https://letsencrypt.dev.org.tw/docs/rate-limits/

  • 我可以在不關閉網站伺服器的情況下簽發憑證嗎?

    是的,Certbot 有不同的外掛程式來執行網域驗證,並且除了「standalone」外掛程式外,它們都不需要任何停機時間。

  • Let's Encrypt 伺服器會使用哪些 IP 位址來驗證我的網站伺服器?

    Let's Encrypt CA 不會發布它用來驗證的 IP 位址清單,因為它們可能會隨時變更。未來,它可能會同時從多個 IP 位址進行驗證。

  • 如果我的網站伺服器沒有在連接埠 80 上監聽,我是否可以簽發憑證?

    是的,使用 DNS-01 或 TLS-ALPN-01 質詢。但是,Certbot 尚不支援 TLS-ALPN-01。如果您使用任何 Certbot 以及 DNS 驗證以外的任何方法,您的網站伺服器必須在連接埠 80 上監聽,或者至少必須能夠在憑證驗證期間暫時執行此操作。

    如果您的 ISP 或防火牆封鎖連接埠 80,且您無法解除封鎖,則需要使用 DNS 驗證或其他 Let's Encrypt 用戶端。

  • 我可以使用哪些工具來除錯我網站的 HTTPS 設定?

    Let's Encrypt 社群論壇上通常會建議使用四種掃描工具

    它們都有各自的優勢。Let's Debug 只會由尚未運作 HTTPS 的人員使用,而 SSL Labs 只會由(至少在某種程度上)已運作 HTTPS 的人員使用。

    Let’s Debug:如果您遇到質詢失敗並想要對質詢失敗的原因進行直接說明,Let's Debug 最有幫助。

    Check-Your-Website:如果您的 DNS 或 HTTP 設定錯誤令人困惑,有些頁面或某些瀏覽器可以正常運作,有些則無法,或者如果您的 HTTP 網站在瀏覽器中可以運作,但您會遇到您不理解的質詢失敗,則 Jürgen 的掃描器最有幫助。

    Why No Padlock:如果您已經擁有憑證,但所有或某些使用者沒有看到有效的 HTTPS 連線(並且它提供關於什麼導致混合內容警告的非常具體的資訊),則 Why No Padlock 最有幫助。

    SSL Labs:對於已設定 HTTPS 網站上的加密問題,例如某些瀏覽器可以正常運作,而另一些瀏覽器會產生密碼套件相關錯誤的情況,或者如果您想說服專家和/或監管機構您正在遵循安全最佳實務,則 SSL Labs 最有幫助。

  • Certbot 的隱私權政策是什麼?

    Certbot 隱私權政策可以在此處找到。

  • Certbot 和本網站的授權條款是什麼?

    Certbot 軟體和文件以 Apache 2.0 授權條款授權,如此處所述。否則,本網站通常以 EFF 的 CC-BY 授權條款授權,但本常見問題頁面除外,該頁面是 Let’s Encrypt 常見問題的衍生版本(以 Let’s Encrypt 的 CC-BY-NC 授權)。