免费 SSL 证书有什么缺点

免费 SSL 证书有什么缺点

免费 SSL 证书（如由 Let’s Encrypt 签发的 DV SSL证书）在加密功能上与付费证书完全等效，符合 RFC 8555 和 X.509 标准，支持 TLS 1.2/1.3，能实现 HTTPS 加密和浏览器地址栏锁形标识。但其设计目标是自动化、短期、轻验证，因此存在以下实质性限制：

1. 有效期极短：默认仅 90 天，需强制依赖自动化续签（如 Certbot、acme.sh 或 Nginx 插件）。若续签失败（如 DNS 解析异常、Web 服务宕机、防火墙阻断 ACME HTTP-01 挑战端口），证书将在到期后立即失效，导致网站 HTTPS 中断、浏览器显示 NET::ERR_CERT_DATE_INVALID。

2. 仅支持域名验证（DV）：不提供组织身份核验，无法显示单位名称、地址或营业执照信息。因此不适用于需要增强用户信任的场景（如金融登录页、企业后台、B2B 交易系统），也无法满足 PCI DSS、等保 2.0 等合规性中对实体可追溯性的要求。

3. 缺乏商业支持与保障：无 SLA 承诺、无技术响应通道、无证书吊销紧急协助；若私钥泄露或需人工干预重签（如更换 CSR、调整 SAN 列表），只能重新走自动化流程，无客服介入路径。

4. 兼容性历史遗留问题：虽主流现代浏览器（Chrome 58+、Firefox 50+、Safari 10.1+）完全兼容，但部分嵌入式设备、老旧 IoT 固件、Windows XP SP2 及更早系统仍可能因缺少 ISRG Root X1 根证书而报错（SEC_ERROR_UNKNOWN_ISSUER）。该问题在 2024 年后已大幅缓解，但在工业控制、POS 终端等长周期设备中仍有残留风险。

需要注意的情况

• 不能用于代码签名、邮件加密（S/MIME）、客户端证书认证等非 HTTPS 场景；
• 不支持通配符证书的离线签发（需实时 DNS-01 验证），对内网域名（如 *.intra）或无公网 DNS 的环境支持受限；
• 部分云厂商负载均衡（如阿里云 SLB、腾讯云 CLB）对 Let’s Encrypt 的 OCSP Stapling 响应缓存策略较严，偶发 OCSP 超时导致 TLS 握手延迟上升。