Let’s Encrypt 是目前全球部署最广的免费公开信任 CA,由互联网安全研究小组(ISRG)运营,自 2015 年起提供自动化、开放、零费用的 X.509 证书签发服务。其核心机制基于 ACME 协议(RFC 8555),支持全自动域名验证(HTTP-01、DNS-01、TLS-ALPN-01 等挑战类型),证书有效期为 90 天,强制要求定期续订以降低私钥泄露与证书滥用风险。截至 2025 年底,Let’s Encrypt 已累计签发超 40 亿张证书,覆盖约 3 亿个唯一域名。
ZeroSSL 同样提供符合 Web PKI 标准的免费证书,由 Sectigo 技术支持,支持 ACME 接口及 Web 控制台申请,免费层级允许单域名与多域名(SAN)证书,有效期最长为 90 天,但对 API 调用频次和并发证书数量设有明确配额限制(例如每月最多 10 张新证书)。其根证书由 Sectigo RSA Domain Validation Secure Server CA 签发,该根证书被所有主流操作系统和浏览器默认信任。
主题锚点句
本文讨论范围限定于具备公开信任链、可直接用于 HTTPS 部署且无需客户端手动配置的免费 CA 服务,不包含私有 PKI、自签名证书或仅限测试环境使用的非信任证书源。
免费 CA 的可用性高度依赖其根证书是否预置在目标客户端的信任存储中。Let’s Encrypt 的 ISRG Root X1 自 2021 年起已广泛集成于 Chrome、Firefox、Safari、Android(7.0+)、Windows(10 1607+)及主流 Linux 发行版的 ca-certificates 包中;但其旧根 X3 已于 2024 年 9 月 30 日正式停用,部分未及时更新系统证书包的嵌入式设备或老旧 Java 运行时(如 OpenJDK 8u191 之前版本)可能因缺少 ISRG Root X1 而拒绝验证有效证书。
ZeroSSL 使用 Sectigo 根证书链,兼容性覆盖更广,包括部分仍运行 Windows XP SP3(需手动导入)或 Java 7u151+ 的遗留系统。然而,其免费证书默认不包含 OCSP Must-Staple 扩展,而 Let’s Encrypt 默认启用该扩展,这在某些严格遵循 RFC 6066 的 TLS 中间件(如早期版本的 HAProxy 或自定义 OpenSSL 构建)中可能导致握手失败,属于可观察到的工程差异而非协议违规。
采用免费 CA 并不意味着零运维开销。Let’s Encrypt 强制 90 天有效期的设计本质是将“密钥轮转”与“证书续订”从可选最佳实践变为强制流程。生产环境中必须部署可靠的自动化续订机制(如 Certbot、acme.sh、Nginx 插件或云厂商原生集成),否则证书过期将直接导致 HTTPS 服务中断。实际案例显示,2025 年 Q3 全球约 12% 的 Let’s Encrypt 相关 HTTPS 故障源于 cron 任务失效、磁盘满导致 acme.sh 写入失败,或 DNS API 凭据过期未更新。
相较之下,ZeroSSL 提供可选的 180 天有效期(需邮箱验证并启用自动续订),降低了短期故障概率,但其证书吊销状态依赖 Sectigo 的 OCSP 响应器,响应延迟高于 Let’s Encrypt 的 Boulder 实现,在高吞吐边缘网关(如 Cloudflare Workers 或 AWS Lambda@Edge)中可能触发更频繁的 OCSP Stapling 失败回退至 CRL 检查,增加 TLS 握手延迟均值约 80–120ms(基于 2025 年第三方 A/B 测试数据)。
Let’s Encrypt 通过 WebTrust CA Browser Forum Baseline Requirements(BR)审计,并每年公开发布第三方审计报告(由 Deloitte 执行),其日志全部提交至 Certificate Transparency(CT)日志系统(如 Google Aviator、Cloudflare Nimbus),满足 PCI DSS 4.1、GDPR 数据最小化及中国《网络安全等级保护基本要求》(GB/T 22239—2019)中关于公钥基础设施的透明性条款。但其不提供组织验证(OV)或扩展验证(EV)证书,故无法满足部分金融类应用对“绿色地址栏”或法律实体显式声明的强合规需求。
ZeroSSL 在免费层仅提供域名验证(DV)证书,其付费层才支持 OV;其 CT 日志提交为可选项(默认开启),但若用户关闭,则可能违反等保 2.0 中“关键业务系统证书应具备可验证透明性”的推荐控制项。此外,其隐私政策允许将注册邮箱用于营销通信,虽不构成技术风险,但在 ISO/IEC 27001 审计中可能被列为信息处理边界模糊项,需额外签署 DPA 补充协议。
Q:能否在内网系统或无公网 IP 的设备上使用 Let’s Encrypt?
可以,但必须使用 DNS-01 或 TLS-ALPN-01 验证方式,且 DNS 提供商需支持 API 自动解析,或本地 TLS 终止服务能响应 ALPN 挑战。HTTP-01 因依赖公网可达的 80 端口,不适用于纯内网场景。
Q:ZeroSSL 免费证书是否支持通配符(wildcard)?
支持,但仅限于通过 ACME v2 接口申请的 DNS-01 验证方式,且需在账户中完成邮箱验证与域名所有权绑定;Web 控制台界面暂不提供通配符申请入口。
Q:证书过期后重签,是否必须重新生成私钥?
否。ACME 协议允许复用已有私钥发起新订单(即 key reuse),只要私钥仍安全保存且未泄露。Certbot 默认启用此行为,可减少密钥材料轮转频率,但需确保私钥存储权限严格(如 chmod 600)并避免跨环境共享。
加密您的网站,赢得客户信任!
2004-2026 © 北京传诚信 版权所有 | TopSSL提供免费SSL证书与付费证书,快速实现HTTPS加密 北京市朝阳区鹏景阁大厦16层
京公网安备11010502031690号 
网站经营企业工商营业执照