前段时间在VPS上用了自签名的SSL证书来给HTTPS进行加密，虽然用着没什么问题，但是每次访问都会弹出警告信息，浏览器网址也会变成红色，导致每次都要忽略警告才能访问，所以只能自己访问的时候用HTTPS，不能全局跳转到HTTPS。

点击HTTPS信息，会显示证书未认证

用自签名SSL证书加密HTTPS连接除了上面提到的警告信息以外，还有一个缺点就是无法在Chrome中自动保存密码，这样每次登录都要重新输入密码，非常麻烦。

为了解决这个问题，也想过是不是去申请一个认证机构颁发的SSL证书，但是看了价格之后，就放弃了

今天在逛digitalocean社区的时候看到有篇文章介绍Let’s Encrypt提供免费SSL证书，去官网看了下，感觉比较靠谱，虽然有效期只有90天，但是相比其他动辄几百一年的管理费，算是非常合理了。

由于Let’s Encrypt基于ACME，所以可以实现无人值守状态下自动申请证书，自动更新证书以及自动注销证书。绝对是近年来最具颠覆性的一项发明，HTTPS至今没有得到普及的原因就是由于高昂的管理费和复杂的申请步骤，而Let’s Encrypt把这最大的两个困难都给清除掉了。

Let’s Encrypt的优点

• 证书的生成方法和自己签名证书 一样简单
• 生成的证书在客户浏览器网址栏显示为绿色已认证
• 可以生成无限数量的证书
• 证书可以无限次续期

Let’s Encrypt的缺点

• 证书仅能用于HTTPS加密，无法对网站所有者和机构进行认证

安装letsencrypt

$ git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt $ cd /opt/letsencrypt $ ./letsencrypt-auto --help

一般来说，为了避免敏感信息外泄，涉及密码和敏感信息的页面都必须采用HTTPS连接方式。但由于认证机构的正规SSL根证书非常贵，所以有时只能自己来制作SSL证书。

但是在使用自己生成的SSL证书时，在Apache2的log里会出现如下错误信息

[ssl:warn] server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)