Let』s Encrypt 證書頒發的速率及次數限制

【美博翻牆2019.12.24】因為自建代理或網站，常常要對網域進行免費的 Let』s Encrypt SSL 證書申請，有時候出錯太多次，會達到Let』s Encrypt 證書頒發的時間及次數限制，美博將官方說明記錄此文以便有用到時參考。

Let』s Encrypt官方說明（2019年6月4日更新）

Let』s Encrypt 對證書頒發進行速率限制以確保儘可能多的人能合理使用我們的服務。我們相信這些速率限制在大多數情況下足以滿足用戶的需求。同時續期證書幾乎不受速率限制的影響，所以大型組織可以逐步增加他們可以發布的證書數量，而無需Let』s Encrypt的干預。

如果您正在積極開發或測試 Let』s Encrypt 的客戶端，請使用我們的測試環境而不是生產環境的 API。如果您正在將 Let』s Encrypt 作為提供商或大型網站進行整合，請查看我們的集成指南。

我們主要限制的是每個註冊網域的證書數量（每周 50 張）。一般而言，註冊網域是您從網域註冊商處購買的那一部分網域。例如，在網域 www.example.com 中，註冊網域為 example.com；在 new.blog.example.co.uk 中，註冊網域為 example.co.uk。我們使用公共尾碼列表來確定註冊網域。

如果您有許多子網域，您可能希望將它們合併為一張證書。您最多可以在一張證書中包含 100 個網域。結合上述限制，這意味著您每周最多可以獲得 5000 個不同子網域的證書。包含多個網域的證書通常稱為 SAN 證書，有時也稱為 UCC 證書。注意：出於性能和可靠性的原因，每張證書最好包含儘可能少的網域。

續期證書遵守特殊規則：它們不計入您的每個註冊網域的證書數量的限制，但它們受到每周最多 5 張重複證書的限制。請注意：在 2019 年 3 月前，續期證書曾計入您的每個註冊網域的證書數量的限制，但現在我們不再這麼做了。

如果一張證書包含的網域與以前某張證書的完全相同（不論大小寫及網域順序），那麼它會被視為對之前證書的續期證書（或重複證書）。例如，如果您申請了僅包含 [www.example.com，example.com] 的證書，那麼您在之後的一周內最多可以再申請 4 張僅包含 [www.example.com，example.com] 的證書。如果您在網域列表中添加了 [blog.example.com]，那麼您就不會受到重複證書的限制，可以申請更多證書。

對續期證書的處理不考量使用的公鑰和請求的擴展。即使您使用新密鑰，頒發包含完全一樣網域的證書也將被視為續期。

吊銷證書不會重置速率限制，因為您已經消耗了用於頒發這些證書的資源。

每個賬戶每小時每網域有最多驗証失敗 5 次的限制。該限制次數在我們的測試環境中更高，因此您可以使用該環境來調試連接問題。

｢new-reg｣、｢new-authz｣和｢new-cert｣端點的總請求數限制為每秒 20 次。｢/directory｣端點和｢/acme｣目錄及其子目錄的總請求數限制為每秒 40 次。

此外還有兩個你不太可能遇到的限制。

每個 IP 地址每 3 小時最多可以創建 10 個賬戶。每個 IPv6 /48 地址段每 3 小時最多可以創建 500 個賬戶。達到這兩個賬戶限制是十分罕見的，我們建議我們建議大型集成商使用一個帳戶為多個客戶提供服務。

您的帳戶最多可以有 300 個待驗証授權。達到此速率限制很少見，並且通常在開發 ACME 客戶端時發生。到達此限制通常意味著您的客戶正在創建授權但沒有驗証授權。如果您正在開發 ACME 客戶端，請使用我們的測試環境。

對於 ACME v2 API 的用戶，每 3 小時最多可為每個帳戶創建 300 個新訂單。

覆蓋限制

如果您達到了速率限制，我們無法暫時重置它。您需要等到一周後速率限制結束才可再次頒發證書。我們使用滑動窗口來計算限制，因此如果您在星期一發出 25 張證書，在星期五發出 25 張證書，您將能夠從星期一開始再次頒發證書。您可以通過搜尋 crt.sh 獲取您的註冊網域的證書列表，該列表使用公共的證書透明度日誌。

如果您是需要集成 Let』s Encrypt 的大型託管服務提供商或組織，您可以使用速率限制表單請求更高的速率限制。處理請求需要幾周時間，因此如果您只是想要在限制自行重置前更快地進行重置，請不要使用該表單。

請注意，大多數託管服務提供商不需要增加速率限制，因為我們沒有限制您為不同註冊網域頒發證書的數量。只要您的大多數客戶在註冊網域下的子網域數量沒有超過 2000 個，您很可能不需要申請速率提高。有關更多建議，請參考我們的集成指南。

清除待驗証的授權

如果您有大量待處理的授權對象並且受到了速率限制，您可以通過向其中一個驗証請求提交 JWS 簽名的 POST 請求來觸發對這些授權對象的驗証嘗試（如 ACME 規範中所述）。待處理的授權對象由 https://acme-v01.api.letsencrypt.org/acme/authz/XYZ 格式的 URL 表示，並應顯示在客戶端日誌中。請注意，驗証成功還是失敗並不重要，因為無論結果如何授權對象均會轉出｢待驗証｣狀態。如果您沒有包含相關授權 URL 的日誌，則需要等待速率限制結束。如上所述，速率限制基於滑動窗口，因此根據您頒發方式的不同，需要的時間可能不到一周。

請注意，擁有大量待驗証授權通常是客戶端代碼有誤的結果。如果您經常遇到此速率限制，則應仔細檢查您的客戶端代碼。

原文：https://letsencrypt.org/zh-cn/docs/rate-limits/

***
=== 自建最強代理 v2ray、trojan、NaiveProxy 系列文章參考 ===

自建最強科學上網3+：trojan + Caddy（SSL證書自動續期） - 美博園
關於v2fly（V2Ray）更新版本的提醒 - 美博園
自建最強科學上網5+：V2ray + Caddy + Tls + HTTP/2
自建最強科學上網2+：V2Ray + Caddy + Tls + WebSocket
自建最強科學上網4：NaiveProxy + Caddy
｢trojan+Caddy｣SSL證書自動續期的Caddyfile配置解決方案 - 美博園
美博點評：V2Ray、trojan、NaiveProxy代理的異同及相關問題 - 美博園
自己搭建代理伺服器：VPS的選擇 - 美博園
自己搭建代理伺服器：Vultr VPS 購買圖文教程 - 美博園
自己搭建代理伺服器：Vultr VPS 系統安裝圖文教程 - 美博園
自己搭建代理伺服器：檢測ip是否被牆及更換ip - 美博園
自己搭建代理伺服器：網域購買及設置與ip伺服器關聯 - 美博園
SSH連接軟體-Xshell下載及使用教程 - 美博園
WinSCP：連接遠端伺服器的管理傳輸工具的使用教程 - 美博園
其它參考：
v2ray客戶端代理上網 - Windows、Android、Mac、ios - 美博園
Let』s Encrypt 證書頒發的速率及次數限制 - 美博園
Let's Encrypt SSL 證書安裝不了的若干問題解決 - 美博園
如何開啟Google TCP BBR 加速 - 美博園
V2ray自建代理遇到的一些問題及解決 - 美博園

原文鏈接：https://allinfa.com/zh-tw/letsencrypt-rate-limiting.html
原文標題：Let』s Encrypt 證書頒發的速率及次數限制 - 美博園
美博園文章均為｢原創 - 首發｣，請尊重辛勞撰寫，轉載請以上面完整鏈接註明來源！
軟體著作權歸原作者！個別轉載文，本站會註明為轉載。

« 前文：翻牆軟體：自由門_v7.70 下載（20191219）

WinSCP：連接遠端伺服器的管理傳輸工具的使用教程：後文 »

關注更多相關文章：