本文属于「SSL证书选购指南」专题内容,查看更多相关内容: → SSL证书选购指南
免费SSL证书支持标准DNS域名,包括二级域名(如 example.com)、带www前缀的子域名(如 www.example.com)以及通用子域名(如 api.example.com)。不支持纯IP地址、内网地址(如 192.168.x.x)、localhost 或未注册的私有TLD(如 .dev 本地调试需手动配置)。Let’s Encrypt 等主流免费CA已全面停用WHOIS验证,仅接受DNS、HTTP或TLS-ALPN三种域控制验证方式。
自2021年12月起,CA/B Forum强制要求所有通配符证书必须采用DNS验证,HTTP文件验证被禁用。这一变更直接影响免费SSL证书的适用边界——若您的域名DNS服务商不支持TXT记录快速写入(如部分校园网DNS或老旧IDC后台),将无法完成验证。我们实测发现,阿里云、腾讯云、Cloudflare等主流平台DNS解析延迟通常在60秒内,而某些小众注册商可能需等待长达15分钟。
免费SSL证书支持UTF-8编码的中文域名,但实际签发时会自动转为Punycode格式(如 “中国.网址” → “xn--fiqs8s.xn--zrsw24d”)。需注意:部分老旧系统(如Windows Server 2008 R2默认IE8内核)无法正确解析Punycode证书链,导致“NET::ERR_CERT_COMMON_NAME_INVALID”错误。建议生产环境优先选用英文域名,测试阶段可使用TopSSL提供的DNS解析记录查询工具预检。
单域名证书仅覆盖一个精确FQDN,例如申请 www.example.com 不自动包含 example.com;两者需分别申请或选用多域名证书。通配符证书(*.example.com)仅保护一级子域名,无法覆盖二级子域(如 dev.api.example.com)。我们曾遇到客户误用通配符证书部署到Kubernetes Ingress,因Ingress Controller未启用SNI扩展,导致部分边缘浏览器握手失败。
| 域名类型 | 免费SSL支持情况 | TopSSL专家建议 |
|---|---|---|
| 标准二级域名(example.com) | ✅ 完全支持 | 推荐首选,兼容性最佳 |
| 带www前缀(www.example.com) | ✅ 支持,但需单独申请 | 建议与根域合并为多域名证书,避免双证书管理 |
| 通配符(*.example.com) | ✅ 支持(Let’s Encrypt / Sectigo 免费版) | 注意:不支持续费,90天后需重新DNS验证 |
| 多级子域名(dev.api.example.com) | ❌ 不支持通配符嵌套 | 应选用多域名证书或SAN证书 |
| 纯IP地址(1.2.3.4) | ❌ 已全面禁止 | 可申请内网IP SSL证书替代方案 |
第一,泛解析域名(如 *.test.example.com A 记录指向同一服务器)无法通过免费CA验证——CA只校验DNS TXT记录是否存在于申请域名下,不追溯上游A记录。
第二,CDN回源域名若与站点主域不一致(如源站为 origin.example.com,CDN CNAME为 cdn.example.com),必须为两个域名分别申请证书。
第三,部分云厂商负载均衡器(如AWS ALB)要求证书必须包含Subject Alternative Name(SAN)字段,而某些旧版免费证书生成工具默认不写入,需手动补全。
Q:免费SSL证书能用于小程序或APP后端域名吗? A:可以,但微信小程序要求HTTPS域名必须在MP后台显式备案并添加业务域名白名单;APP调用需确保Android/iOS系统信任该证书链(Let’s Encrypt R3根已内置,无需额外适配)。
Q:申请了www和不带www两个免费证书,是否算占用两次额度? A:是的。TopSSL平台按订单计数,每个独立申请视为1次,年度免费额度为10次,超限后需支付2元/张。
Q:能否把免费证书部署到多个服务器? A:可以,证书文件(PEM格式)无绑定设备限制,但私钥必须严格保密。我们建议使用SSL证书格式转换工具生成统一JKS/PFX供Java/.NET环境复用。
## 免费SSL证书有使用次数限制吗? 是的,免费SSL证书存在明确的年度使用次数限制。以主流的 Let's Encrypt 为例,TopSSL 平台每位用户每年最多可申请 10 个免费 SSL 证书(含单域名、多域名、通配符类型),超出后需支付 2 元/次或升级为付费方案。该限制并非技术缺陷,而是 CA/B Forum 合规要求与资源合理分配的工程实践结果。 ## 为什么免费证书必须设限? Let's Encrypt 等公开 CA 遵循 CA/Browser Forum 的 Baseline Requirements,其中第 4...
查看详情什么是 SSL 证书? SSL 证书是一种数字身份凭证,用于在网站服务器与用户浏览器之间建立可信的加密通道。它不是单纯的“加密开关”,而是由受信任的证书颁发机构(CA)签发、经浏览器根证书库验证的公钥基础设施(PKI)实体。部署后,网站可启用 HTTPS,实现数据机密性、完整性与服务端身份认证。 现代浏览器(Chrome、Firefox、Safari)默认将 HTTP 网站标记为“不安全”,而地址栏出现挂锁图标、绿色 HTTPS 前缀及组织名称(EV 类型),均依赖 SSL 证书的正...
查看详情免费 SSL 证书和付费 SSL 证书有什么区别? 免费 SSL 证书可满足基础 HTTPS 加密需求,但无法替代商业级 SSL 证书在信任保障、合规支持与运维可靠性上的核心价值。从生产环境部署经验看,90% 的中小型企业网站在上线 6 个月内会因续期失败、证书链缺失或浏览器兼容问题触发安全告警——而这些问题在付费证书体系中已有成熟闭环。 技术背景:SSL/TLS 证书的本质差异 加密能力完全一致,但信任根基不同 无论是 Let's Encrypt 免费 DV 证书还是...
查看详情SSL 证书安装复杂吗? 对具备基础服务器操作经验的运维人员而言,SSL 证书安装并不复杂,通常可在10–20分钟内完成。但复杂度高度依赖部署环境:Nginx/Apache等主流Web服务器有成熟配置模板;而rectAdmin、宝塔、cPanel等控制面板提供可视化界面,进一步降低门槛;若系统仅支持PEM格式(如部分建站平台),则需准确分离证书链与私钥,稍有疏漏即导致“不受信任”报错。 实际生产中,85%以上的安装失败并非源于技术难度,而是因证书链缺失、域名不匹配...
查看详情SSL 证书是否会影响搜索引擎排名 是的,SSL 证书会影响搜索引擎排名,但属于弱相关信号而非决定性因素。自 2014 年起,Google 明确将 HTTPS(即网站部署有效 SSL 证书)列为轻量级排名因子,权重远低于内容质量、反向链接和用户体验等核心指标。实际工程中,未启用 HTTPS 的网站在主流搜索结果中已普遍失去竞争力,尤其在涉及表单提交、用户登录或支付场景时,搜索引擎会显著降低信任分。 该结论基于 CA/Browser Forum 合规实践与 Google Search ...
查看详情免费 SSL 证书适合哪些网站使用 免费 SSL 证书适用于对身份验证要求不高、预算有限、且能接受高频续签操作的网站。它提供与付费证书同等强度的 HTTPS 加密,但仅支持域名验证(DV),不包含组织信息核验。在当前浏览器强制标记 HTTP 为“不安全”的环境下,免费证书是快速启用 HTTPS 的最低可行方案。 技术背景:免费 SSL 的能力边界 免费 SSL 证书由 Let’s Encrypt、锐安信(sslTrus)等符合 CA/B Forum 标准的机构签发,采用标准 X.509 v3 格式,支...
查看详情WebLogic服务器安装SSL证书的方法 WebLogic服务器支持标准JKS格式SSL证书,需通过管理控制台配置密钥库与SSL监听器。部署过程不依赖命令行,但对证书路径、别名、密码一致性要求严格,任何一项错误都将导致HTTPS服务启动失败或浏览器提示“NET::ERR_CERT_INVALID”。生产环境中建议在非高峰时段操作并备份原配置。 WebLogic SSL证书部署核心机制 JKS密钥库是唯一受信载体 WebLogic仅原生支持Java KeyStore(JKS)格式证书,不直接识别PEM、PFX等...
查看详情宝塔是什么?用在哪里? 宝塔(Baota Panel)是一款面向 Linux 和 Windows 服务器的可视化 Web 管理面板,本质是将 Nginx/Apache/MySQL/PHP 等服务配置封装为图形界面操作。它不提供 SSL/TLS 加密能力,但作为最主流的证书部署入口之一,被广泛用于 SSL证书部署、HTTPS 启用、强制跳转与证书链完整性校验等关键环节。 在实际生产中,超过 65% 的中小站点使用宝塔完成 SSL证书安装教程。其核心价值在于屏蔽底层 OpenSSL 命令与配置语法差异——例如...
查看详情 ## 宝塔安装免费SSL证书教程(HTTPS配置完整指南) 很多网站已经部署 HTTPS,但在宝塔面板安装免费 SSL 证书时,仍然经常遇到: * SSL证书申请失败 * HTTPS无法访问 * 浏览器提示“不安全” * 证书自动续期失败 * 开启HTTPS后网站打不开 实际上,大部分问题都与域名解析、宝塔环境配置、CDN回源、防火墙、证书续期有关。 本...
查看详情此连接已被阻止,因为它是公共页面发起的,旨在连接到您本地网络上的设备或服务器。 这是现代浏览器(Chrome、Edge、Firefox)实施的「混合内容与本地网络隔离」安全策略,属于 TLS/HTTPS 安全演进中的主动防护机制。当 HTTPS 页面尝试通过 JavaScript 发起对 http://192.168.x.x、http://localhost 或 http://10.x.x.x 等私有 IP 的明文请求时,浏览器会直接拦截并显示该提示——它不是 SSL 证书错误,而是协议层访问控制。 技术背景:为什么 HTTPS ...
查看详情什么是邮件签名证书? 邮件签名证书(S/MIME证书)是基于PKI体系的数字证书,用于对电子邮件进行数字签名和加密。它不提供网站HTTPS加密功能,而是专为邮件通信设计,确保发件人身份真实、邮件内容未被篡改、传输过程具备机密性。当前主流CA机构如GlobalSign、锐安信(sslTrus)、Sectigo均提供个人与企业级S/MIME证书,全部符合RFC 5751标准。 该证书需绑定唯一邮箱地址,由CA机构完成域名所有权或组织真实性验证后签发。部署后,Outlook、Apple Mail、...
查看详情企业SSL证书怎么买? 企业SSL证书必须通过具备WebTrust认证资质的CA机构购买,不能自行生成或从非授权渠道获取。主流选择包括锐安信、Digicert、GlobalSign、CFCA等品牌,需完成企业身份核验(如营业执照、统一社会信用代码、法人信息等),整个流程通常需1–3个工作日。购买后需正确部署证书链与私钥,并确保服务器支持TLS 1.2+及现代加密套件。 企业SSL证书不是简单下单即可生效的数字商品,而是一套信任凭证交付过程。CA机构依据CA/Browser Forum ...
查看详情国密算法与RSA加密有什么特点 国密算法(SM2/SM3/SM4)与RSA是两类不同技术路线的密码体系,前者是我国自主设计、符合《密码法》要求的国产密码标准,后者是国际通用的公钥密码基石。在实际SSL证书部署中,二者直接影响加密强度、握手性能、浏览器兼容性及供应链安全。选择并非单纯比“快慢”,而是权衡合规性、生态成熟度与业务场景。 核心机制差异 SM2是基于椭圆曲线密码学(ECC)的非对称算法,使用256位密钥即可达到RSA 3072位的安全强度;而RSA依赖...
查看详情SSL证书如何安装到西部数码主机? 是的,SSL证书完全可以安装到西部数码虚拟主机中,但必须满足两个硬性前提:主机已开通SSL功能(仅限Linux系统支持),且域名已完成正确解析。西部数码不支持IIS环境下的SSL部署,所有操作均基于Nginx或Apache配置。实际部署中约12%的失败案例源于混淆了证书格式——务必使用Nginx版证书(.pem + .key),而非IIS的.pfx文件。我们建议优先选用免费ssl申请服务快速验证流程。 技术背景与兼容范围 西部数码虚拟主机当...
查看详情常见的SSL证书品牌有哪些 常见且广泛被浏览器信任的SSL证书品牌包括Sectigo、Digicert、GlobalSign、GeoTrust、Thawte、锐安信(sslTrus)、沃通(WoTrus)、CFCA、华测(CTI)和Certum等。这些CA机构均通过WebTrust或ETSI认证,其签发的SSL证书在Chrome、Firefox、Safari及Edge中默认受信。其中Sectigo与Digicert占据全球近60%市场份额,而锐安信、CFCA、华测等国产CA则在政务、金融及国密合规场景中成为主力选择。 国际主流SSL证书品牌解析 Sectigo(...
查看详情什么是邮件证书? 邮件证书(S/MIME 证书)是专用于电子邮件加密与数字签名的 X.509 证书,它让发件人能对邮件内容签名以证明身份真实性,同时可对收件人公钥加密实现端到端保密传输。与网站 SSL 证书不同,邮件证书不绑定域名,而是绑定邮箱地址,并由受信任的 CA(如 Sectigo、Digicert、锐安信)签发,被 Outlook、Apple Mail、Thunderbird 等主流客户端原生支持。 当前时间是 (东8区) 北京时间:2026年3月31日,星期二。 邮件证书的核心技术机制 S/...
查看详情## ERR\_CERT\_REVOKED 是什么错误? ERR\_CERT\_REVOKED 是 Chrome、Edge 等基于 Chromium 内核浏览器提示的严重 TLS 证书错误,表示该网站当前使用的 SSL/TLS 证书已被证书颁发机构(CA)主动吊销,不再具备信任资格。浏览器拒绝建立 HTTPS 连接,并阻止用户继续访问,这是 PKI 信任机制的核心安全保护行为。 该错误直接指向证书生命周期管理失效,而非配置疏漏或兼容性问题。 ## 核心技术机制 ### 证书吊销的两种主流机制 浏览器验证证书有...
查看详情## SSL证书在线检测 topSSL证书支持在线实时检测。通过专业工具可秒级验证证书有效性、链完整性、签名算法、密钥强度及浏览器兼容性。检测结果直接反映网站是否具备可信HTTPS安全连接,是运维与安全人员每日必查项。 SSL证书在线检测不是简单查看“锁图标”,而是对整个PKI信任链的技术验证。它会模拟真实浏览器行为,从客户端发起TLS握手,抓取服务器返回的完整证书链(含根证书、中间证书、叶证书),逐层校验签名有效性、有效期、域名匹配、吊销状态(...
查看详情## 浏览器不识别SSL证书? 浏览器不识别SSL证书,本质是TLS握手阶段证书验证失败,而非“看不到证书”。真实工程中,92%的此类问题源于证书链缺失、域名匹配错误或根证书未预置。仅约3%属于私有CA或自签名场景。当前主流浏览器(Chrome 128+、Firefox 125+、Edge 127+)已默认移除对Symantec旧根、WoSign/StartCom等不合规CA的信任,部署前必须验证信任链完整性。 ## 核心技术机制 ### 浏览器证书验证的四步硬性检查 现代浏览器在建立HTTPS连接时执...
查看详情
2004-2026 © 北京传诚信 版权所有 | TopSSL 提供免费SSL证书申请、HTTPS加密部署及企业级SSL证书服务,支持网站安全连接、数字证书安装与浏览器信任验证。 北京市朝阳区鹏景阁大厦16层
京公网安备11010502031690号
网站经营企业工商营业执照
