免费SSL证书原理

免费SSL证书原理

免费 SSL 证书（如由 Let’s Encrypt 签发）基于自动化 PKI 流程与 ACME（Automated Certificate Management Environment，RFC 8555）协议实现，其核心原理是：通过可验证的域名控制权（Domain Control Validation, DCV）自动颁发短期（通常为90天）的 X.509 公钥证书，不依赖人工审核，也不收取费用。

具体流程包括三步：（1）客户端（如 Certbot、acme.sh 或 Nginx/Apache 插件）向 ACME 服务器注册账户并生成密钥对；（2）发起证书申请时，ACME 服务器要求完成 DCV——常见方式有 HTTP-01（在域名根路径下放置指定 token 文件）、DNS-01（在 DNS 添加 TXT 记录）或 TLS-ALPN-01（通过特定 TLS 扩展响应验证）；（3）验证通过后，CA 使用其离线根密钥签名的中间证书（如 Let’s Encrypt 的 R3 或 E1）签发终端证书，整个过程无需人工介入。

其“免费”本质源于运营模型：Let’s Encrypt 由非营利组织 ISRG 运营，资金来自捐赠与行业赞助；技术上依赖高度自动化与标准化（全部符合 CA/Browser Forum 基线要求），规避了传统 DV SSL证书 中的人工审核、UI 交互与商业计费系统。证书本身与付费 DV 证书在加密强度（RSA 2048 / ECDSA P-256）、协议兼容性（TLS 1.2+）、浏览器信任链（交叉签名至受信根）等方面完全一致。

需要注意的情况

• 证书有效期仅90天，需配置自动续期（如 cron + certbot renew），否则将导致 HTTPS 中断；手动管理易失效。
• 不支持组织身份验证，无法提供 OV SSL证书 或 EV SSL证书 所含的企业信息展示与更高信任标识。
• ACME 接口对频率有限制（如每域每周 5 次失败验证、每月 50 张新证书），高频测试或误配可能触发锁定。
• 部分私有环境（如内网域名、无公网 IP 设备）无法使用 HTTP-01/DNS-01 验证，需改用私有 CA 或自签名方案。