免费数字证书本质是符合 X.509 标准的 TLS 服务器证书,由公开可信的证书颁发机构(CA)签发,具备完整 PKI 信任链,但不收取签发与管理费用
免费数字证书并非“无认证”或“自签名”,而是由通过 CA/B Forum 审计、被主流操作系统和浏览器根存储预置的 CA(如 Let's Encrypt)按 Baseline Requirements 签发的正式证书。其技术结构、签名算法(ECDSA 或 RSA)、扩展字段(Subject Alternative Name、Key Usage、Extended Key Usage)与付费证书完全一致,唯一区别在于商业授权模型与配套服务等级。该类证书受 RFC 8555(ACME 协议)约束,依赖自动化验证流程(HTTP-01 或 DNS-01),不提供人工审核、保险赔付、多域名集中管理或国密 SM2 支持等增值服务。
本文讨论范围限定于面向 Web 服务器部署的公开信任 TLS 证书,不涵盖客户端证书、代码签名证书或私有 PKI 场景。
核心信任机制不可降级
免费证书的根证书(如 ISRG Root X1)已预置在 Chrome、Firefox、Safari、Edge 及 Android 7.1.1+、iOS 10+ 的信任库中。只要中间证书链完整且未被吊销,TLS 握手即通过标准 X.509 验证路径,浏览器地址栏显示锁形图标,无任何安全警告。其信任锚点与付费证书完全相同,不存在“次级信任”概念。
验证方式决定适用边界
Let's Encrypt 等免费 CA 仅支持域名控制权(DCV)自动化验证,不执行组织真实性核验。因此免费证书全部为
DV SSL证书,适用于静态网站、API 服务、测试环境及个人博客;但无法满足需展示组织名称的场景(如银行登录页),此类需求必须选用
OV SSL证书 或
EV SSL证书。
生命周期管理存在工程约束
免费证书默认有效期为 90 天,强制要求自动化续期(如 certbot、acme.sh)。若未配置可靠续期机制,将导致 HTTPS 中断。此外,不支持证书吊销后立即同步至 OCSP 响应器,OCSP Stapling 配置不当可能引发短暂验证延迟。
| 维度 | 参考标准 | 工程师建议 |
|---|
| 信任等级 | CA/B Forum BR v2.0,RFC 5280 | 与付费 DV 证书完全等效,无需额外信任配置 |
| 兼容性 | RFC 8555,TLS 1.2+,SNI 必选 | 不兼容 Windows XP / IE6–8,旧版 Java 7u95 前需手动更新根证书 |
| 部署成本 | ACME 协议自动化集成 | 推荐使用 Nginx + certbot 或云厂商原生 ACME 插件,避免手动轮换 |
常见问题
Q:免费 SSL 证书能否用于企业官网? A:可以,但仅限展示域名合法性(DV 类型);若需在地址栏显示公司名称,必须选用 OV 或 EV 类型证书。
Q:为什么有些免费证书在旧安卓设备上提示不安全? A:Android 4.2–4.4 使用独立根证书库,未预置 ISRG Root X1;需升级系统或手动导入中间证书。
Q:能否将免费证书用于邮件服务器(SMTPS)或 FTPS? A:可以,只要服务端支持 SNI 和标准 X.509 解析,但需确保证书 SAN 中包含对应服务 FQDN。
京公网安备11010502031690号 
网站经营企业工商营业执照