客户问答

永久免费的ssl证书哪里申请？

目前不存在真正“永久免费”的SSL证书。所有公开信任的SSL/TLS证书均受CA/Browser Forum基线要求约束，自2020年起强制执行最长有效期为13个月（398天），2026年已进一步收紧至90天。所谓“永久”实为误解——证书需定期续期，且依赖自动化工具与运维能力支撑。未续期将导致HTTPS中断、浏览器显示“您的连接不是私密连接”等严重安全警告。

该问题本质是用户对证书生命周期管理的认知偏差。

技术背景：为什么没有永久免费SSL证书？

CA机构运营需承担域名验证、吊销响应、OCSP服务、根证书维护等成本。Let’s Encrypt虽由非营利组织运营，但其资源仍受限于捐赠与基金会支持；TOPSSL.cn等国内平台提供的免费SSL证书同样基于Sectigo或锐安信（sslTrus）签发，属商业CA的有限额度赠予。浏览器厂商（Chrome、Firefox）明确要求所有公开信任证书必须具备可吊销性、可轮换性，永久证书违背PKI安全模型根本原则。

真实生产环境中，我们曾见过某政务子站因未配置acme.sh自动续期，证书过期47小时后被上级网信办通报——这不是理论风险，而是高频事故。

核心技术机制：90天证书如何实现“长期可用”？

TLS握手阶段的证书验证流程

当用户访问HTTPS网站时，浏览器在TLS 1.3握手过程中会校验三要素：证书签名有效性、证书链完整性、证书有效期。其中有效期检查是硬性拦截项，不满足即终止连接。因此，“长期可用”不靠单张证书寿命，而靠自动化续期闭环：DNS验证 → 签发新证书 → 替换私钥与证书文件 → 重载服务（Nginx/Apache/IIS）→ 验证HTTPS可达性。

主流自动化方案对比

工程实践：三种可行路径与真实限制

第一类：Let’s Encrypt + acme.sh —— 免费但高运维门槛。需SSH权限、cron定时任务、DNS API密钥管理。某客户曾因DNS服务商API限频导致连续3次续期失败，最终改用TOPSSL平台托管模式解决。

第二类：TOPSSL.cn免费通道 —— 提供Sectigo与锐安信双品牌DV证书，有效期90天，支持免费ssl申请，但每域名每月限申1次，且不支持通配符或多域名。适合单站点轻量部署，无需技术栈改造。

第三类：商用CA试用期 —— 如Digicert、Geotrust提供30–90天免费试用OV证书，含企业身份核验。虽非永久，但可评估付费迁移路径。注意：试用证书不可用于支付页面，PCI DSS明确禁止。

常见问题

Q：申请了三年期证书，为何下载的证书只显示一年有效期？
A：这是CA行业通用做法。多按年分批签发，首年证书到期前系统自动推送续期链接，实际总服务期达购买年限。详情见SSL证书有效期。

Q：免费SSL证书会影响SEO吗？
A：不会。Google明确将HTTPS作为排名信号，但仅要求“有效证书”，不区分免费或付费。不过，频繁过期会导致爬虫中断抓取，间接影响收录稳定性。

Q：能否用一张免费证书保护www和非www两个域名？
A：可以。TOPSSL平台签发的DV证书默认包含主域名与www子域名（如example.com + www.example.com），无需额外申请单域名证书。

相关知识链接

• SSL证书
• 免费ssl申请
• DV SSL证书
• 通配符ssl证书
• 免费SSL证书原理、限制与技术选型全指南
• 免费ssl证书的有效期是多久？