免费SSL证书的特点

免费SSL证书的特点

免费SSL证书是当前中小型网站、个人博客及开发测试环境最常用的HTTPS加密方案，其核心特点是“零成本获取、快速部署、基础安全达标”。但需明确：免费不等于无约束——所有主流免费SSL证书均受CA/Browser Forum强制规范约束，有效期严格限制在90天以内，且仅支持域名验证（DV），无法体现组织身份。从工程实践看，它并非“永久可用”，而是依赖自动化续签机制维持长期HTTPS服务。

技术背景与行业规范

免费SSL证书的生命周期由CA/B Forum Baseline Requirements第15版强制限定：自2020年9月起，所有公开信任的TLS证书最长有效期不得超过13个月（398天），而Let’s Encrypt等主流免费CA进一步压缩至90天。这一设计源于安全冗余原则——缩短有效期可显著降低私钥泄露、证书滥用或算法过时带来的风险窗口。浏览器厂商（Chrome、Firefox、Safari）同步执行该策略，对超期证书直接标记为“您的连接不是私密连接”。

核心技术机制

证书签发基于ACME协议自动化验证

免费SSL证书不依赖人工审核，全部通过ACME（Automatic Certificate Management Environment）协议完成。典型流程为：服务器生成CSR → 向CA发起申请 → CA触发DNS或HTTP挑战 → 服务器自动响应验证文件或TXT记录 → 签发PEM格式证书链。该机制杜绝了传统OV/EV证书所需的营业执照、电话核验等环节，但也意味着无法建立组织级信任锚点。

仅支持域名验证（DV），无组织信息嵌入

所有免费SSL证书均为DV类型，证书Subject字段中仅包含CN（Common Name）和SAN（Subject Alternative Name）域名，不含O（Organization）、OU（Organizational Unit）等企业属性。这意味着浏览器地址栏不会显示公司名称，也无法满足等保三级中“身份鉴别”条款对实体身份的要求。例如，DV SSL证书适用于技术验证场景，但不适用于金融、政务类高信任需求站点。

证书链精简但依赖根证书预置

免费证书（如Let’s Encrypt R3、Sectigo Free DV）采用单层中间CA结构，证书链通常仅含1个中间证书+1个根证书。其信任完全依赖操作系统或浏览器内置根存储（如ISRG Root X1）。若终端未更新根证书库（如Windows Server 2008 R2默认不包含ISRG根），将出现NET::ERR_CERT_AUTHORITY_INVALID错误。实践中，我们建议在部署后使用SSL证书检查工具验证链完整性。

工程部署经验

真实生产环境中，免费SSL证书的“易用性”常被高估。我们曾为某电商SaaS平台迁移Let’s Encrypt证书，发现三类高频问题：一是CDN节点缓存旧证书导致部分用户仍见不安全提示；二是通配符证书（*.api.example.com）无法覆盖裸域（example.com），需额外申请主域证书；三是自动续签脚本在crontab中未设置环境变量PATH，导致acme.sh执行失败。这些问题在付费证书（如OV SSL证书）中可通过人工技术支持快速闭环。

另一个关键限制是兼容性：免费证书普遍不支持国密SM2算法，无法通过等保测评中“密码应用安全性评估”要求。若需国密合规，必须选用国密SSL证书，如华测、沃通或锐安信提供的SM2/RSA双算法证书。

常见问题

Q：免费SSL证书能用于企业官网吗？
A：技术上可以启用HTTPS，但因缺乏组织验证，无法建立用户信任。浏览器地址栏仅显示锁形图标，无公司名称展示，且不满足等保、PCI DSS等合规要求。建议企业官网选用OV SSL证书或EV SSL证书。

Q：为什么部署后浏览器仍提示“不安全”？
A：常见原因有三：混合内容（页面含HTTP资源）、证书链不完整（未部署中间证书）、域名不匹配（证书SAN未包含当前访问域名）。可使用SSL证书检查工具一键诊断。

Q：能否将免费证书用于邮件服务器或代码签名？
A：不能。免费SSL证书仅限TLS/SSL用途，不包含Email Protection或Code Signing Extended Key Usage（EKU）扩展。邮件加密需S/MIME证书，代码签名需独立代码签名证书。

相关知识链接

• 免费SSL证书
• Sectigo免费SSL证书不免费Let's Encrypt免费证书来接棒！
• 免费SSL证书永久生成？
• 免费ssl证书的有效期是多久