Let’s Encrypt 是目前全球部署最广的免费公开信任 CA,由互联网安全研究小组(ISRG)运营,自 2015 年起提供自动化、开放、零费用的 X.509 证书签发服务。其核心机制基于 ACME 协议(RFC 8555),支持全自动域名验证(HTTP-01、DNS-01、TLS-ALPN-01 等挑战类型),证书有效期为 90 天,强制要求定期续订以降低私钥泄露与证书滥用风险。截至 2025 年底,Let’s Encrypt 已累计签发超 40 亿张证书,覆盖约 3 亿个唯一域名。
ZeroSSL 同样提供符合 Web PKI 标准的免费证书,由 Sectigo 技术支持,支持 ACME 接口及 Web 控制台申请,免费层级允许单域名与多域名(SAN)证书,有效期最长为 90 天,但对 API 调用频次和并发证书数量设有明确配额限制(例如每月最多 10 张新证书)。其根证书由 Sectigo RSA Domain Validation Secure Server CA 签发,该根证书被所有主流操作系统和浏览器默认信任。
主题锚点句
本文讨论范围限定于具备公开信任链、可直接用于 HTTPS 部署且无需客户端手动配置的免费 CA 服务,不包含私有 PKI、自签名证书或仅限测试环境使用的非信任证书源。
免费 CA 的可用性高度依赖其根证书是否预置在目标客户端的信任存储中。Let’s Encrypt 的 ISRG Root X1 自 2021 年起已广泛集成于 Chrome、Firefox、Safari、Android(7.0+)、Windows(10 1607+)及主流 Linux 发行版的 ca-certificates 包中;但其旧根 X3 已于 2024 年 9 月 30 日正式停用,部分未及时更新系统证书包的嵌入式设备或老旧 Java 运行时(如 OpenJDK 8u191 之前版本)可能因缺少 ISRG Root X1 而拒绝验证有效证书。
ZeroSSL 使用 Sectigo 根证书链,兼容性覆盖更广,包括部分仍运行 Windows XP SP3(需手动导入)或 Java 7u151+ 的遗留系统。然而,其免费证书默认不包含 OCSP Must-Staple 扩展,而 Let’s Encrypt 默认启用该扩展,这在某些严格遵循 RFC 6066 的 TLS 中间件(如早期版本的 HAProxy 或自定义 OpenSSL 构建)中可能导致握手失败,属于可观察到的工程差异而非协议违规。
采用免费 CA 并不意味着零运维开销。Let’s Encrypt 强制 90 天有效期的设计本质是将“密钥轮转”与“证书续订”从可选最佳实践变为强制流程。生产环境中必须部署可靠的自动化续订机制(如 Certbot、acme.sh、Nginx 插件或云厂商原生集成),否则证书过期将直接导致 HTTPS 服务中断。实际案例显示,2025 年 Q3 全球约 12% 的 Let’s Encrypt 相关 HTTPS 故障源于 cron 任务失效、磁盘满导致 acme.sh 写入失败,或 DNS API 凭据过期未更新。
相较之下,ZeroSSL 提供可选的 180 天有效期(需邮箱验证并启用自动续订),降低了短期故障概率,但其证书吊销状态依赖 Sectigo 的 OCSP 响应器,响应延迟高于 Let’s Encrypt 的 Boulder 实现,在高吞吐边缘网关(如 Cloudflare Workers 或 AWS Lambda@Edge)中可能触发更频繁的 OCSP Stapling 失败回退至 CRL 检查,增加 TLS 握手延迟均值约 80–120ms(基于 2025 年第三方 A/B 测试数据)。
Let’s Encrypt 通过 WebTrust CA Browser Forum Baseline Requirements(BR)审计,并每年公开发布第三方审计报告(由 Deloitte 执行),其日志全部提交至 Certificate Transparency(CT)日志系统(如 Google Aviator、Cloudflare Nimbus),满足 PCI DSS 4.1、GDPR 数据最小化及中国《网络安全等级保护基本要求》(GB/T 22239—2019)中关于公钥基础设施的透明性条款。但其不提供组织验证(OV)或扩展验证(EV)证书,故无法满足部分金融类应用对“绿色地址栏”或法律实体显式声明的强合规需求。
ZeroSSL 在免费层仅提供域名验证(DV)证书,其付费层才支持 OV;其 CT 日志提交为可选项(默认开启),但若用户关闭,则可能违反等保 2.0 中“关键业务系统证书应具备可验证透明性”的推荐控制项。此外,其隐私政策允许将注册邮箱用于营销通信,虽不构成技术风险,但在 ISO/IEC 27001 审计中可能被列为信息处理边界模糊项,需额外签署 DPA 补充协议。
Q:能否在内网系统或无公网 IP 的设备上使用 Let’s Encrypt?
可以,但必须使用 DNS-01 或 TLS-ALPN-01 验证方式,且 DNS 提供商需支持 API 自动解析,或本地 TLS 终止服务能响应 ALPN 挑战。HTTP-01 因依赖公网可达的 80 端口,不适用于纯内网场景。
Q:ZeroSSL 免费证书是否支持通配符(wildcard)?
支持,但仅限于通过 ACME v2 接口申请的 DNS-01 验证方式,且需在账户中完成邮箱验证与域名所有权绑定;Web 控制台界面暂不提供通配符申请入口。
Q:证书过期后重签,是否必须重新生成私钥?
否。ACME 协议允许复用已有私钥发起新订单(即 key reuse),只要私钥仍安全保存且未泄露。Certbot 默认启用此行为,可减少密钥材料轮转频率,但需确保私钥存储权限严格(如 chmod 600)并避免跨环境共享。
免费数字证书本质是符合 X.509 标准的 TLS 服务器证书,由公开可信的证书颁发机构(CA)签发,具备完整 PKI 信任链,但不收取签发与管理费用 免费数字证书并非“无认证”或“自签名”,而是由通过 CA/B Forum 审计、被主流操作系统和浏览器根存储预置的 CA(如 Let's Encrypt)按 Baseline Requirements 签发的正式证书。其技术结构、签名算法(ECDSA 或 RSA)、扩展字段(Subject Alternative Name、Key Usage、Extended Key Usage)与付费证书完全一致,...
查看详情无法确认该网页的安全性怎么办? 当浏览器显示“无法确认该网页的安全性”(如 Chrome 的 NET::ERR_CERT_AUTHORITY_INVALID、Firefox 的 SEC_ERROR_UNKNOWN_ISSUER),本质是 TLS 握手过程中证书链验证失败。核心原因不是网站“不安全”,而是客户端无法建立从站点证书到受信任根证书的完整、可信路径。常见于自签名证书、私有 CA 未被系统预置、中间证书缺失、证书吊销状态不可达,或根证书已过期/被移除(如 2021 年 DST Root CA X3 过期事件)。 该...
查看详情## 一个域名只能申请一个证书吗 一个域名可以同时持有多个有效 SSL 证书,不存在“只能申请一个”的技术或规范限制。 CA/B Forum Baseline Requirements 和 RFC 5280 均未对同一域名的证书并发数量设限。实际生产环境中,常见多证书共存场景包括:跨 CA 签发(如 Let’s Encrypt + DigiCert)、不同验证类型混用(DV SSL证书 与 OV SSL证书)、TLS 1.2 与 TLS 1.3 分离部署、国密SSL证书 与国际算法证书并行、以及灰度发布阶段的新旧证书重叠期。证...
查看详情电子商务网站必须使用 HTTPS(SSL/TLS)加密传输 电子商务网站处理用户登录凭证、支付卡号、收货地址等敏感信息,根据 PCI DSS 4.1 条款与 CA/B Forum Baseline Requirements §9.10,所有传输中的持卡人数据必须通过 TLS 加密。未启用 HTTPS 的电商站点在 Chrome 120+ 中将被标记为“不安全”,且无法调用 Web Payment API、WebAuthn 等现代浏览器安全特性。主流电商平台(如 Shopify、Magento、WooCommerce)默认强制 HTTPS,其后台管理接口、API 端...
查看详情## 安装SSL证书必须要有独立IP吗? 不需要。自 TLS 1.0 起,通过 Server Name Indication(SNI)扩展,多个域名可共享同一 IP 地址并各自部署独立的 SSL 证书。该机制已在 RFC 6066 中标准化,并被所有现代浏览器、服务器及操作系统广泛支持。SNI 在 TLS 握手初期明文发送目标域名,使服务器能选择对应证书响应,从而规避传统“一个IP绑定一个证书”的限制。SNI 是当前 HTTPS 部署的事实标准,绝大多数生产环境(包括 Nginx、Apache、IIS、OpenResty...
查看详情## HTTPS 是否 100% 安全? HTTPS 本身不是一种“安全协议”,而是 HTTP 协议在 TLS(或旧称 SSL)加密通道上的运行方式。其安全性取决于 TLS 实现质量、证书信任链完整性、密钥强度、服务器配置及客户端验证行为等多个环节。\*\*TLS 层可提供传输机密性与完整性,但无法防御应用层攻击(如 XSS、CSRF)、服务端逻辑漏洞、证书误用或私钥泄露等风险。\*\* 因此,HTTPS 不等于端到端安全,仅是现代 Web 安全的必要基础组件,而非充分条件。 HTTPS 的安全边...
查看详情虚拟主机是否支持SSL证书部署 虚拟主机环境普遍支持 SSL 证书部署,但实际可行性取决于服务提供商的技术架构与配置策略。现代虚拟主机平台通常基于共享 IP 或 SNI(Server Name Indication)技术实现多站点 HTTPS 支持。SNI 允许在同一 IP 地址上托管多个 SSL 证书,客户端在 TLS 握手阶段即发送目标域名,使服务器能选择正确的证书响应。该机制已被主流浏览器和操作系统广泛支持,包括 Chrome、Firefox、Edge、iOS 和 Android。 对于未启用 SNI...
查看详情Tomcat中HTTP到HTTPS自动跳转的工程实现 在Tomcat中实现HTTP到HTTPS自动跳转,本质是通过容器级重定向策略强制将80端口请求转向443端口,而非依赖应用层逻辑。该机制需同时配置连接器(Connector)与安全约束(Security Constraint),且必须确保SSL/TLS连接器已正确启用并绑定有效证书。跳转行为由Tomcat的Coyote HTTP/1.1 Connector解析`redirectPort`属性触发,不经过Servlet过滤器链,因此性能开销极低且具备协议层可靠性。 该方案适用于所...
查看详情DV SSL证书申请流程与技术要点 DV SSL证书(域名验证型证书)是目前最常见、部署最广泛的公钥基础设施(PKI)凭证类型,适用于绝大多数网站加密场景。其核心特点是仅验证申请者对域名的控制权,不涉及企业身份审核。申请过程自动化程度高,通常可在几分钟内完成签发。 DV证书的签发遵循CA/B Forum Baseline Requirements规范,要求CA机构通过至少一种方式验证域名控制权,包括HTTP文件验证、DNS记录验证或电子邮件验证。主流浏览器(Chrome、Edge...
查看详情如何验证 SSL 证书安装是否正确? SSL 证书安装正确性不能仅凭浏览器地址栏显示“锁形图标”判断。真实生产环境中,常见错误包括证书链不完整、私钥不匹配、域名不覆盖、OCSP Stapling 失败或 TLS 协议/密码套件配置不当。验证需分层进行:客户端可观察现象 → 服务端可采集指标 → 第三方工具交叉验证。 使用 OpenSSL 命令行直接提取服务器返回的证书链并校验签名路径,是最权威的本地诊断方式。例如执行:openssl s_client -connect example.com:...
查看详情解码CSR是什么意思 CSR 是 Certificate Signing Request 的缩写,即证书签名请求。在申请 SSL/TLS 证书时,服务器管理员会生成一对公私钥,并将包含公钥和身份信息(如域名、组织名称等)的 CSR 文件提交给证书颁发机构(CA)。解码 CSR 指的是对这个 Base64 编码的文本文件进行解析,提取其中的明文结构化数据,以便验证其内容是否正确。 这一过程不涉及私钥操作,也不会暴露敏感信息,常用于排查证书签发前的信息错误,例如域名拼写、组织单位或国...
查看详情什么是证书签名请求(CSR)? 证书签名请求(Certificate Signing Request, CSR)是申请 SSL 证书时生成的一个标准化文本文件,包含申请者的公钥和身份信息。CA 在签发证书前必须验证 CSR 中的信息,确保其格式符合 PKCS#10 规范,并与最终颁发的 ssl证书 内容一致。CSR 本身不包含私钥,但必须使用与之配对的私钥进行签名,以证明申请者对公钥的控制权。 生成 CSR 是部署 HTTPS 的第一步,通常在服务器或密钥管理工具中完成。主流 Web 服务器如...
查看详情部署SSL证书是否需要专用或静态IP? 现代 HTTPS 部署已不再强制要求使用专用或静态 IP 地址。这一限制主要存在于早期 SNI(Server Name Indication)扩展普及之前的技术阶段。当前绝大多数生产环境依赖 SNI 实现单 IP 多域名 SSL 托管,只要客户端和服务器均支持 SNI,即可在共享 IP 上正确部署 SSL证书。 SNI 是 TLS 握手协议的扩展(RFC 6066),允许客户端在 ClientHello 阶段明文发送目标主机名,使服务器能选择正确的证书响应。自 2011 年...
查看详情Windows 系统中 SSL 3.0 与 TLS 版本的对应关系 Windows 操作系统对 SSL/TLS 协议的支持由 SChannel 安全包实现,其版本命名与 IETF 标准存在差异。SSL 3.0 是 Netscape 在 1996 年发布的协议版本,已被现代系统弃用。在 Windows 中,TLS 协议以“安全协议”形式注册,实际启用版本取决于操作系统版本和安全策略配置。 Windows 不将 SSL 3.0 视为 TLS 的一个版本,而是独立的旧协议。自 Windows Server 2008 和 Windows Vista 起,TLS 1.0 成为...
查看详情Apache2 部署 SSL 证书的完整流程与注意事项 在 Apache HTTP Server 上部署 SSL/TLS 证书是实现 HTTPS 加密通信的基础步骤。该过程涉及证书文件准备、虚拟主机配置、模块启用和协议安全调优。正确配置不仅能通过浏览器信任校验,还可避免中间人攻击与降级风险。实际部署中常见问题包括证书链不完整、私钥权限过宽、TLS 版本支持不当等。 Apache 使用 mod_ssl 模块处理 SSL 连接,需确保其已加载。大多数 Linux 发行版通过 a2enmod ssl 命令启...
查看详情免费SSL证书的适用场景与技术限制 免费SSL证书由部分CA通过自动化流程签发,主要用于个人站点、测试环境或临时部署。其核心价值在于降低HTTPS普及门槛,但存在策略约束和生命周期管理上的局限。证书通常采用域名验证(DV)机制,依赖ACME协议完成自动化验证与部署。主流浏览器对免费证书的信任度与付费DV证书一致,但部分企业级应用(如Java信任库、特定API网关)可能因根证书预置差异导致兼容性问题。 当前讨论范围涵盖公共可信CA签发的90天有效...
查看详情OV 证书未显示公司名称的常见原因 OV SSL证书(组织验证型证书)在正确部署后,其包含的组织信息应在浏览器点击锁图标时可见。但实际使用中,用户常遇到“已购买 OV 证书却看不到公司名称”的情况。核心问题通常不在于证书本身是否签发成功,而在于证书链完整性、客户端兼容性或浏览器策略变化。 当前主流浏览器(如 Chrome、Edge)自 2015 年起逐步弱化 UI 中对 EV 与 OV 组织信息的直接展示,转向统一显示为“安全连接”。这意味着即使证书包含有效...
查看详情SSL 证书链完整性对 TLS 握手的影响 证书链不完整是导致 TLS 连接失败的常见原因。客户端(如浏览器或移动应用)在建立 HTTPS 连接时,需验证服务器返回的证书是否由受信任的根证书签发。这一过程依赖完整的证书链:叶证书 → 中间证书 → 根证书。若服务器未正确配置中间证书,客户端可能无法构建可信路径,从而触发“NET::ERR_CERT_AUTHORITY_INVALID”等错误。 多数现代 Web 服务器支持通过配置文件加载完整的证书链。例如,在 Nginx 中应使用 `...
查看详情OV SSL证书是什么?如何验证与部署? 组织验证型 SSL 证书(OV SSL证书)要求 CA 核实申请单位的真实存在性,包括企业注册信息、域名控制权及授权关系。签发前需完成电话或文档验证,证书中包含组织名称与签发机构信息,适用于对身份可信度有要求的政务、金融或企业官网场景。 CA 必须遵循 CA/B Forum Baseline Requirements 第 3.2 节规定的验证流程,通过政府公开数据库(如国家企业信用信息公示系统)核验主体资质,并采用 DNS 或文件方式确认...
查看详情
2004-2026 ©北京传诚信 版权所有 | TopSSL提供免费 SSL 证书与企业级付费证书申请,快速实现 HTTPS 加密 北京市朝阳区鹏景阁大厦16层
京公网安备11010502031690号
网站经营企业工商营业执照
