没有真正“长期免费”的SSL证书。所有公开信任的SSL证书都受CA/Browser Forum基线要求约束,有效期最长13个月(398天),且必须定期续期。Let’s Encrypt等免费CA提供的证书虽不收费,但仅有效期90天,需自动化续签。所谓“永久免费”是误解,实际是“零费用+强制短周期更新”的工程实践。
浏览器信任体系不允许无限期证书存在。自2020年9月起,Apple、Chrome、Firefox等主流浏览器强制执行398天上限,超期即触发“您的连接不是私密连接”警告。这意味着即便技术上可签发多年期证书,也无法被终端用户信任。
Let’s Encrypt 采用自动化证书管理环境(ACME)协议完成域名控制权验证。它不人工审核,而是通过HTTP-01(文件放置)、DNS-01(TXT记录)或TLS-ALPN-01(证书密钥验证)三种方式实时校验。整个过程无需人工介入,但要求服务器具备可自动化部署能力。
生产环境中常见失败点在于:CDN未透传/.well-known/acme-challenge路径、DNS TTL过长导致TXT记录延迟生效、防火墙拦截443端口ALPN协商。我们曾在一个金融客户项目中因云WAF默认屏蔽ACME探测包,导致连续3次续签失败。
Let’s Encrypt 的ISRG Root X1根证书已预置在主流操作系统和浏览器中,但部分老旧设备(如Windows Server 2008 R2、Android 4.2以下)仍需手动安装中间证书才能建立完整信任链。这直接影响HTTPS加密的可用性,而非仅美观问题。
使用SSL证书链下载工具可一键获取兼容性最佳的中间证书组合。若漏配,iOS 14以下设备访问会出现“无法验证服务器身份”提示——这是真实运维中高频故障点。
| 维度 | 参考标准 | 工程师建议 |
|---|---|---|
| 有效期 | CA/B Forum BR 1.8.1:≤398天 | 必须配置自动续期脚本,推荐certbot + systemd timer 或 acme.sh + crontab |
| 域名覆盖 | Let’s Encrypt:单证书最多100个域名 | 多域名证书请用多域名证书替代,避免管理碎片化 |
| 证书类型 | 仅支持DV验证 | 企业官网、登录页等需组织信息展示场景,应选用OV SSL证书 |
值得注意的是,Let’s Encrypt 不提供通配符证书的独立API调用权限,必须使用DNS-01验证方式。这意味着你必须拥有DNS服务商API密钥,并承担密钥泄露风险。我们在某电商平台迁移中,就因DNS API密钥误提交至GitLab公开仓库,紧急轮换了全部生产DNS凭证。
商业CA如Digicert、Sectigo提供的免费试用证书,通常为30天DV体验版,不可用于生产。而真正的长期价值在于:OV/EV证书附带组织身份核验、第三方担保、保险赔付及全天候技术支持——这些无法用“免费”衡量。
对于中小网站,免费ssl申请服务仍是高性价比起点;但当涉及支付、会员数据或品牌公信力时,建议升级至OV SSL证书,确保浏览器地址栏显示企业名称,强化用户对网站安全的信任感。
Q:Let’s Encrypt 证书能用于微信小程序后台域名吗?
A:可以,但需确保域名已完成ICP备案,且证书绑定的域名与小程序配置的request合法域名完全一致,包括www前缀。
Q:自动续签失败后,HTTPS会立即中断吗?
A:不会立即中断,但剩余有效期少于30天时,多数监控系统(如Zabbix、Prometheus Exporter)会告警;低于7天则Chrome开发者工具会标红证书状态。
Q:是否可以同时部署 Let’s Encrypt 和商业SSL证书?
A:可以,但需确保Web服务器(Nginx/Apache)只启用一套证书配置,否则将引发SNI冲突或握手失败。
加密您的网站,赢得客户信任!
2004-2026 ©北京传诚信 版权所有 | TopSSL提供免费 SSL 证书与企业级付费证书申请,快速实现 HTTPS 加密 北京市朝阳区鹏景阁大厦16层
京公网安备11010502031690号
网站经营企业工商营业执照
