可以

少逛 v2 就能提高效率

因为 key 变了， 要用 ECC 的话 必须 重签

可以

重新签一个就好了， 看我发的帖子

@wm5d8b @jasontse

主要是 证书体积小, 加快握手速度.

@DesignerSkyline

所谓的证书链: fullchain.pem = xxx.com.cer + ca.cer

直接把两个文件加在一起.

@DesignerSkyline 没有所谓的 什么通道的概念. 可能有缓存. 你多试几次.

@DesignerSkyline

renew 只能 renew 自己生成的证书, 不能 renew 别人生成的.

所以, 你可以直接重新生成一个 blog.xxx.com 的证书.

即使是对于官方客户端而言, renew 实际上就是重新生成.

果然不卡...........

@cccRaim 程序员的时间就不值钱吗, 古人说: 能用钱解决的事,就不要花时间.

@imWBB 当然有, 请看 readme https://github.com/Neilpang/le/tree/master/dnsapi

给钱啊 几分钱而已

@DesignerSkyline

是啊，哈哈，　谁规定的程序员就过年一定要宅在家呢．

接下来另一个 feature 是要支持 ECDSA 证书. 这个优先级比 revoke 要高.

其实 revoke 的作用真的不大.

@DesignerSkyline

revoke 正在做, 但是最近时间比较紧. 你可以看到有个 revoke 的 branch. 现在还有 bug 不能工作.

@DesignerSkyline

```
pem == cer
```

直接重命名

>> ，第三个随机数产生之后客户端会用服务器证书中的公匙对它进行加密，这个加密是用的什么加密方法？


这个要看情况, 不一定是用 服务器的公钥加密.

先要看协商出来的 "秘钥交换算法", 现在绝大多数都使用的是 DHE 交换算法. 试用 DHE 交换对称秘钥. 这样, 客户端就不需要用公钥加密. 只是用公钥吧最后一个报做签名.

当然也有 用 RSA(或者 ECDSA) 作为 "秘钥交换算法"的, 此时服务端的证书必须是 RSA 证书或者 ECDSA, 不能是 DSA 证书. 因为 DSA 算法不能用来加密. 此时, 客户端就需要把 对称秘钥 用 RSA 加密发给 服务端. 然后服务端和客户端就拥有相同的对称秘钥了.

从此以后, 双方就可以是用对称加密算法来传输了. 一般是 AES,3des. 这在前面也会协商对称加密算法.

通信一段时间后, 双方可能会进行对称秘钥的重协商.

https://v2ex.com/t/254533#reply8

我已经支持了 dnspod 的 api 了. cloudxns 马上就来.