客户问答

买EV SSL 证书有意义吗 在当前（2026年）主流浏览器环境下，购买 EV SSL证书 对绝大多数网站已无实际安全或显示价值。 EV（Extended Validation）证书的核心设计目标是通过严格组织身份核验，在地址栏显示绿色公司名称（如早期 Chrome、Firefox 所示）。但自 2019 年起，Chrome 宣布移除地址栏中的 EV 标识；Firefox、Safari 和 Edge 随后跟进。目前所有主流浏览器均不再以视觉方式区分 EV 与其他类型证书（如 OV SSL证书 或 DV SSL证书），仅在证书...

华测国密CA 华测国密CA（全称：华测认证（深圳）有限公司国密SSL证书签发服务）是经国家密码管理局（SM2/SM3/SM4）和工信部许可的商用密码认证机构，提供符合《GM/T 0024-2014 SSL VPN技术规范》及《GB/T 38636-2020 信息安全技术 传输层密码协议（TLCP）》标准的国密SSL证书。 其证书采用SM2椭圆曲线公钥算法签名、SM3杂凑算法生成摘要，并支持双证书链部署（SM2 + RSA混合信任链），适配国密浏览器（如红莲花、360安全浏览器国密版）、政务云平台、金融信...

多域名证书可以后期增加域名吗？ 不可以。SSL/TLS 多域名证书（SAN 证书）在签发时已将所有域名（Subject Alternative Name 条目）固化于证书的 subjectAltName 扩展字段中，该字段不可修改。证书一旦由 CA 签发并部署，其包含的域名列表即为静态快照，任何新增、删除或修改域名的操作都必须重新申请并签发新证书。 这一限制源于 X.509 标准（RFC 5280）与 PKI 信任模型的设计原则：证书是数字签名的不可变声明，私钥持有者无法单方面扩展其授权范...

SAN 证书跟普通证书有什么区别？ SAN（Subject Alternative Name）证书与所谓“普通证书”（通常指仅包含单个域名的单域名证书）的核心区别在于：SAN 证书在 X.509 证书的 subjectAltName 扩展字段中可声明多个域名（DNS 名称），而传统单域名证书的 subject CN（Common Name）字段仅能匹配一个主机名，且现代浏览器已完全忽略 CN 字段用于域名验证（RFC 6125、Chrome/Firefox 自 2017 年起强制要求校验 SAN）。 这意味着：若证书未在 SAN 字段中列出 ...

买多域名证书是否更划算 是否更划算，取决于域名数量、管理复杂度与证书生命周期内的变更频率。多域名 SSL 证书（SAN 证书）允许在单张证书中保护多个完全不同的域名（如 example.com、api.example.net、shop.org），其费用通常低于为每个域名单独购买单域名证书的总和，尤其当域名数 ≥3 且长期稳定时，成本优势明显。 以主流 CA 的 OV SSL证书 为例：单域名年费约 ¥300–¥600，而支持 5 个 SAN 的同类型证书年费约 ¥500–¥900；若需保护 4 个独立域...

应该选单域名 SSL 证书还是多域名 SSL 证书 选择取决于你实际需要保护的域名结构：若仅需加密一个主域名（如 example.com）及其标准子域名（如 www.example.com），DV SSL证书（单域名型）足够；若需同时保护多个完全独立的域名（如 example.com、blog.net、api.org），则必须使用多域名 SSL 证书（SAN 证书）。 多域名证书通过 Subject Alternative Name（SAN）扩展字段承载多个域名，所有域名共用同一张证书和私钥，在 Nginx/Apache 等服务器上只需一...

没有 SSL 的网站一定会被黑吗 不会。是否被黑与是否部署 SSL/TLS 无直接因果关系。SSL/TLS 的核心作用是加密传输层（HTTP → HTTPS），保障客户端与服务器之间通信的机密性、完整性与身份可验证性；它不提供 Web 应用层防护（如 SQL 注入、XSS、RCE）、主机层安全（如弱口令、未打补丁的系统服务）或逻辑漏洞防御能力。 攻击者入侵网站的常见路径包括：利用 CMS（如 WordPress）插件漏洞、弱密码爆破后台、上传恶意 WebShell、DNS 劫持、社会工程钓鱼获取管...

没有 SSL 会影响网站收录吗 是的，没有 SSL（即未部署 HTTPS）会间接但显著影响网站在主流搜索引擎（尤其是 Google、Bing 和百度）中的收录与排名表现。 Google 自 2014 年起明确将 HTTPS 作为排名信号（ranking signal），并在 Chrome 浏览器中对 HTTP 网站标记“不安全”；百度于 2015 年宣布优先收录和排序 HTTPS 网站；Bing 同样将 HTTPS 视为可信度指标。虽然 HTTP 网站仍可能被爬虫发现并收录（尤其有强外链或高权威时），但实际观察表明：未启...

小网站不装 SSL 可以吗 技术上可以，但**不推荐，且实际已不可行**。现代浏览器（Chrome、Edge、Firefox、Safari）对未使用 HTTPS 的网站默认标记为“不安全”，并在地址栏显示明确警告图标；HTTP 页面中任何密码框、信用卡输入框或表单提交均会被强制拦截或降级提示。自 Chrome 94（2021年9月起）起，所有 HTTP 网站在隐私模式下均触发“Not Secure”红字标识，且该标识无法被屏蔽。 搜索引擎层面，Google 自 2014 年起将 HTTPS 作为排名信号之一；百度搜...

没有 HTTPS 会被浏览器拦截吗 不会被“拦截”，但现代主流浏览器（Chrome、Edge、Firefox、Safari）会对 HTTP 页面施加明确的**安全警告与功能降级**，部分场景下等效于事实性拦截。 自 Chrome 68（2018年7月）起，所有未加密的 HTTP 网站在地址栏统一标记为“不安全”（Not Secure）。此后版本持续强化限制：HTTP 页面无法调用 Geolocation、Notifications、WebRTC、Service Workers 等需安全上下文（secure context）的 API；Chrome 125+ 进一步禁止 HTTP ...

没有 SSL 会被攻击吗 没有 SSL/TLS（即未启用 HTTPS）本身不是一种“攻击”，但它会显著扩大攻击面，使多种网络层和应用层攻击成为可能且成本极低。 HTTP 明文传输意味着所有通信内容（包括 Cookie、表单提交、API 请求头/体、重定向 URL）均可被中间人（MITM）直接窃听、篡改或注入。现代浏览器已将 HTTP 标记为“不安全”（Not Secure），Chrome、Firefox 等主流浏览器在地址栏明确显示警告标识；部分功能（如地理位置、Web Push、Service Worker、自动填充...

ssl证书有免费的吗 是的，SSL证书有免费的。目前最主流、被广泛采用的免费 SSL/TLS 证书由 Let’s Encrypt 提供，它是一个由互联网安全研究小组（ISRG）运营的非营利性证书颁发机构（CA），已获得所有主流浏览器和操作系统的信任。 Let’s Encrypt 颁发的证书为 DV SSL证书（域名验证型），支持单域名、多域名（SAN）及通配符（Wildcard）证书，有效期为 90 天，需通过自动化工具（如 Certbot、acme.sh 或 Web 服务器插件）定期续期。其根证书 ISRG Root X1 ...

企业网站能长期使用免费 SSL 吗？ 技术上可以，但不建议作为生产环境的长期方案。免费 SSL 证书（如 免费ssl证书）通常由 Let’s Encrypt 等 CA 颁发，遵循 ACME 协议，支持自动化部署与续期，有效期仅为 90 天。只要运维流程稳定、ACME 客户端（如 Certbot、acme.sh）配置正确且服务持续可访问，证书可无限次自动续期——因此“能用”是成立的。 但企业网站面临更复杂的合规、信任与运维要求：其一，Let’s Encrypt 仅提供 DV SSL证书，不验证组织身份，无法...

免费 SSL 证书有什么缺点 免费 SSL 证书（如由 Let’s Encrypt 签发的 DV SSL证书）在加密功能上与付费证书完全等效，符合 RFC 8555 和 X.509 标准，支持 TLS 1.2/1.3，能实现 HTTPS 加密和浏览器地址栏锁形标识。但其设计目标是自动化、短期、轻验证，因此存在以下实质性限制： 1. 有效期极短：默认仅 90 天，需强制依赖自动化续签（如 Certbot、acme.sh 或 Nginx 插件）。若续签失败（如 DNS 解析异常、Web 服务宕机、防火墙阻断 ACME HTTP-01 挑战端...

免费 SSL 证书安全吗 是的，免费 SSL 证书在密码学强度、加密机制和协议兼容性上与付费证书完全一致，符合 RFC 5280 和 CA/B Forum 基线要求。以 Let’s Encrypt 为例，其签发的证书使用标准 X.509 v3 格式，支持 ECDSA（P-256/P-384）或 RSA（2048/3072 位），密钥交换、身份认证与数据传输加密能力与商业 CA（如 Digicert、Sectigo）签发的 DV 证书无本质差异。 安全性不取决于“是否收费”，而取决于：证书是否由受信任的根证书颁发机构（Root CA）签发...

免费SSL证书原理 免费 SSL 证书（如由 Let’s Encrypt 签发）基于自动化 PKI 流程与 ACME（Automated Certificate Management Environment，RFC 8555）协议实现，其核心原理是：通过可验证的域名控制权（Domain Control Validation, DCV）自动颁发短期（通常为90天）的 X.509 公钥证书，不依赖人工审核，也不收取费用。 具体流程包括三步：（1）客户端（如 Certbot、acme.sh 或 Nginx/Apache 插件）向 ACME 服务器注册账户并生成密钥对；（2）发起证书申请...

Mixed Content怎么办 Mixed Content（混合内容）指 HTTPS 页面中加载了 HTTP 协议的资源（如图片、脚本、样式表、iframe、字体等），浏览器会阻止主动型混合内容（如 <script>、<iframe>、<object>），并可能降级显示被动型混合内容（如 <img>），同时在地址栏标记“不安全”或移除锁形图标。 根本解决方式是将所有子资源升级为 HTTPS：检查页面 HTML 源码、CSS 文件、JavaScript 逻辑及后端模板，将 http:// 开头的 URL 改为协议相对路径（//example.com...

ERR_CERT_AUTHORITY_INVALID 该错误表示浏览器拒绝信任当前网站的 SSL/TLS 证书，根本原因是证书链中缺失、错序或包含不受信任的根证书（Root CA）或中间证书（Intermediate CA）。它不表示证书已过期或域名不匹配，而是明确指向证书签发机构（CA）未被操作系统或浏览器信任。 常见成因包括：服务器未正确配置中间证书（如仅部署了终端证书，未附带完整的证书链）；使用了私有 CA 或测试 CA（如 mkcert、自签名 CA）签发的证书；证书由已被主流信任库移...

ERR_CERT_COMMON_NAME_INVALID 该错误表示浏览器验证 SSL/TLS 证书时，发现证书的 Subject CN（Common Name）或 Subject Alternative Name (SAN) 扩展中未包含当前访问的域名。自 Chrome 58、Firefox 48 起，CN 字段已**被完全弃用**，证书必须在 SAN 中精确列出所有有效域名（含 www 与非 www 变体），否则触发此错误。 常见成因包括：证书仅签发给 example.com，但用户访问 www.example.com；使用通配符证书 *.example.com 访问 example.com（通...