除了 Let's encrypt 还有其他的免费通配符证书么？

不如先找找失败的原因是什么？

@mason961125 此前发过一个帖子讨论过,有朋友回复说是 Let's encrypt 的验证服务器被屏蔽了.
但是我这里返回的错误信息与网上写的并不太一样.
DNS problem: SERVFAIL looking up TXT for _acme-challenge.x.com - the domain's nameservers may be malfunctioning
而且不论是 dns 还是 webroot 都无法验证通过,上次证书续期还没有问题.所以不打算在这一个上面靠死..想看看大家有没有使用过其他证书.

@cnfczn #2 刚才去试了一下，用 acme.sh 的 DNS manual mode，你这个错误我一开始也遇到了，大概率是解析没生效，还有一种可能是，你分别添加了两条 TXT 记录，而不是在一个 TXT 记录里写两行，如果你写两个不同的_acme-challenge 的话，华为云那个 DNS 会默认帮你按权重负载均衡，所以不能在一次查询中找到两条记录。但是我改成一条记录写两行的模式之后，还是发生错误，DNS 查询请求超时或者 CAA 记录查询失败。支持 wildcard 的免费证书确实不多。如果不想换 DNS 解析商的话，确实我没找到除了 Let's Encrpyt 之外的免费证书。所以相对来看，换一家支持 DNS API mode 的解析商是个更好的选择，顺便也能完成自动化，至少我用阿里的 DNS 的之后都是用 API Key 来自动续期的。

https://sm.ms/image/MJgl1OLXoknAuFc
https://sm.ms/image/KwzPDTIF8htlGLd

我自己测试了一下签成功了，dig 也可以看到两条 txt 记录

还不行的话 检查 CAA 记录是否正确或者直接删了它

CloudFlare API + acme.sh

最简单是 cloudflare 开启半程 SSL 模式吧。。。

Let's Encrypt 、CloudFlare 、AlphaSSL

@mason961125 感谢这位仁兄的耐心解答,此前我一直用阿里的服务器,dns 解析也是阿里的,后来到期换的华为.上次解析的时候还正常,这次就怎么也过不去了.
刚才又试了下在没有被和谐的服务上更新证书也一样失败.而且 dig 能查询到 TXT 记录.
上次更新证书的时候,我只用了一个_acme-challenge 条目,两次 TXT 记录都是先后更改的,验证失败两次第三次成功了.
这次更新证书就不行了,已经把所有可以设置的方法都设置过了.包括 2 个_acme-challenge TXT 记录,或者 1 个_acme-challenge 里边 2 个 TXT 记录,添加 CAA 删除 CAA 等等各种姿势.

@wsly47 刚才按照你的思路也配置了一下,仍然失败.
the domain's nameservers may be malfunctioning
dig 能看到正确的 TXT 记录
挺郁闷的,我打算换 dns 服务商试试了

@moxuanyuan 我也正在试,正在等 NS 变更

@arischow 刚开始弄 CloudFare,等 NS 变更以后再试试.
我有个朋友用的某一键后台,自动更新 let's encrypt 证书,好像是 webroot 验证,据说也不太稳定,但是最后成功过了.
这几种验证方式我都试过,都不成功...等 ns 变更后再试试

@Windelight ok,多谢仁兄..我先试试 cloudfare

验证不通过的原因是因为 Let's encrypt 的 OCSP 域名被 DNS 污染了。
可以考虑在 hosts 文件配置如下指令，并开启服务器的 OCSP stapling 缓解此问题。


# Let's encrypt OCSP Server
23.52.0.145 ocsp.int-x3.letsencrypt.org
2600:1406:3::b81c:bcb8 ocsp.int-x3.letsencrypt.org

@laozhoubuluo 我是在证书续期的时候出现的问题，certbot 日志里也没有 ocsp.int-x3.letsencrypt.org 的请求。
刚才 ping 23.52.0.145 能 ping 通，返回结果就是 TXT 记录验证失败。。真是糟心啊。

digitcert……cn
SSL 证书价格参考：

单域名 21 元 /年
通配符 248 元 /年

推荐你一个免费通配符证书的网站： https://ssl.spug.cc ，申请流程简单，还支持证书到期前监控报警。