腾讯云支持申请 ECC 算法免费证书了

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Recommended Services

› Amazon Web Services

› LeanCloud

› New Relic

› ClearDB

这是一个创建于 1428 天前的主题，其中的信息可能已经有所发展或是发生改变。

ECC

算法

证书

申请

24 条回复 • 2020-12-08 11:51:40 +08:00

Xusually

2020-12-07 15:49:59 +08:00

有意思，昨天晚上正好申请一个证书看到了这个选项。。还没来得及试验。
不过话说 ECC 性能虽好，貌似现在兼容性原因还是得部署 RSA+ECC 双证书来照顾兼容性吧？

2kCS5c0b0ITXE5k2

2020-12-07 16:01:57 +08:00

@Xusually ecc 除了 xp 以及安卓 2.x 的不支持外几乎没啥不支持的了. 个人站点完全可以只用 ecc

Xusually

2020-12-07 16:02:32 +08:00

@emeab 刚去申请了一个，一会儿双证书部署一下试试

darrh00

2020-12-07 16:25:08 +08:00

我司的一个 Go 写的 http 服务，之前用的 rsa 的，白天访问高峰能把 12 核的机器 CPU 全部跑满，换成 ECC,负载不到 1 了。

rust

2020-12-07 17:35:23 +08:00

@darrh00 ECC 算法这么强的吗?

qwerthhusn

2020-12-07 17:38:54 +08:00

是 TrustAsia 吧？？？那样感觉去 freessl.cn 申请也行，也是 TrustAsia 单域名 1 年免费

qwerthhusn

2020-12-07 17:39:16 +08:00

也支持 ECC 和 RSA 自选

alect

2020-12-07 18:53:49 +08:00

连 ecc 都不支持的客户端不要也罢。

zhusimaji

2020-12-07 19:14:09 +08:00

可以试着申请更新一下证书了

IDAEngine

2020-12-07 19:18:11 +08:00 via iPhone

ecc 性能确实好

jimmyismagic

2020-12-07 19:20:56 +08:00

这是啥，椭圆曲线？用来做证书有多快？

ecs

2020-12-07 19:29:46 +08:00

感谢分享。腾讯 CDN 也支持 TLS1.3 和 brotli 压缩了

jinliming2

2020-12-07 22:56:25 +08:00

Let’s Encrypt 的 ECC 也快要发布了，看着提上日程了。
TrustAsia 的 ECC 根证书是 RSA，中间证书是 ECC 和 RSA 交叉签名。
好像 LE 的 ECC 是从根证书开始都是 ECC ？还是和 TA 一样根证书是 RSA 中间用交叉签名？
我看 LE 的网站上现在能下载到 ECC 版本的根证书了，但是还不被系统信任。

ruixue

2020-12-07 23:04:28 +08:00

@jinliming2 https://letsencrypt.org/2020/09/17/new-root-and-intermediates.html

CrazyBoyFeng

2020-12-07 23:31:52 +08:00

@jinliming2
le 不是早就支持 ecc 了吗？
https://www.v2ex.com/t/256193

2kCS5c0b0ITXE5k2

2020-12-07 23:55:58 +08:00

@jinliming2 let`s encrypt 早支持 ecc 了我都用上了。

NowTime

2020-12-08 00:11:30 +08:00 via Android

真巧，昨天（ 12/07 ）中午申请证书，恰巧就看到了有这个 ECC 算法选项，就勾选了。
并且发现签发证书变快了，1-2 分钟就搞定了（选的自动 DNS 验证）。
之前可能需要等待十几分钟才能签发

wazon

2020-12-08 00:23:50 +08:00

@emeab 这说的是根证书级支持 ECC 算法，用户证书早就有了

jinliming2

2020-12-08 07:52:04 +08:00 via iPhone

@CrazyBoyFeng
@emeab
哦，我说的是整个证书链都是 ECC 证书，这样验证速度才是最快的。但现在 LE 的 ECC 是只有你网站的证书是 ECC，根证书和中间证书都还是 RSA 。
可以参考 14 楼的链接。

salmon5

2020-12-08 09:56:55 +08:00

@darrh00 我司的一个 Go 写的 http 服务，之前用的 rsa 的，白天访问高峰能把 12 核的机器 CPU 全部跑满，换成 ECC,负载不到 1 了。
============================================
你这要么道听途说，要么误导，或者你这个 go 每天百亿千亿级的请求量

salmon5

2020-12-08 09:57:37 +08:00

ECC 性能提升，但是不至于这么明显

salmon5

2020-12-08 09:59:24 +08:00

@darrh00
我司的一个 Go 写的 http 服务，之前用的 rsa 的，白天访问高峰能把 12 核的机器 CPU 全部跑满，换成 ECC,负载不到 1 了。
============================
我推测是代码 bug，甩锅给了 RSA 证书，哈哈
这个我真碰到过，代码 BUG，甩锅给了 intel CPU BUG

darrh00

2020-12-08 11:28:59 +08:00

@salmon5
没有到百亿，每天就 6kw 而已，白天峰值能到 1500 请求 /秒，都是短连接，
go 的 rsa 就是慢，perf top 一看就是卡在 big.addMulVVW
这个 issue https://github.com/golang/go/issues/20058 三年过去了，没人优化。

salmon5

2020-12-08 11:51:40 +08:00

@darrh00 看来是 golang 的“特点”，正常情况下，ECC 相对 RSA 没有比例那么高的性能提升；几万以下的 rps，用哪个都行。
个人用户无所谓，反正是玩玩的。