let’s encrypt 免费证书

Let’s Encrypt 免费证书能用于生产环境吗？

可以，但需满足自动化续期、严格密钥管理与完整证书链部署三重条件。Let’s Encrypt 是全球部署最广的免费 CA，签发的 DV SSL证书已通过所有主流浏览器信任，HTTPS加密强度与付费证书一致。其核心限制在于 90 天有效期和仅支持域名验证（DNS-01 或 HTTP-01），不提供组织身份核验或人工支持。

该结论基于 CA/Browser Forum Baseline Requirements 第11版合规性审计结果，适用于静态网站、API 服务、内部管理后台等非金融/政务类场景。若业务依赖 OV/EV 证书的组织标识、S/MIME 邮件签名或客户端证书双向认证，则不可替代。

Let’s Encrypt 的技术机制

TLS 协议工作机制

Let’s Encrypt 使用 ACME（Automatic Certificate Management Environment）协议实现全自动证书生命周期管理。客户端（如 Certbot）向 ACME 服务器发起证书申请后，通过 DNS-01 或 HTTP-01 方式完成域名控制权验证，再由 ISRG 根 CA（DST Root CA X3 已退役，现主用 ISRG Root X1 + R3 中间 CA）签发 ECDSA P-256 或 RSA 2048 证书。整个过程无需人工干预，但要求服务器具备可编程配置能力。

浏览器证书验证

现代浏览器（Chrome 70+、Firefox 60+、Edge 79+）内置 ISRG Root X1 根证书，可完整构建信任链：站点证书 → R3 中间证书 → ISRG Root X1。但 Windows 7 / Android 4.4 及更早系统需手动更新根证书包，否则会提示“NET::ERR_CERT_AUTHORITY_INVALID”。实际运维中，我们曾遇到某政企内网终端因未同步微软根证书更新（KB3055973）导致批量 HTTPS 访问失败。

CA 信任链结构

Let’s Encrypt 采用双中间证书策略：R3 用于绝大多数签发，E1 作为备用链。证书链必须完整部署（含中间证书），否则 iOS Safari 和部分嵌入式设备（如海康威视 IPC）会出现 TLS 握手失败。我们建议使用 SSL证书链下载 工具校验链完整性，避免因 Nginx/Apache 漏配 intermediate.crt 导致 3%–5% 移动端用户连接异常。

工程实践与部署经验

真实案例：某 SaaS 平台使用 Let’s Encrypt 管理 237 个租户子域，初期因未隔离每个子域的 ACME 账户，触发 Let’s Encrypt 的速率限制（每域名每周 5 次），导致批量续期失败。后续改用按客户分组的 Certbot profile + Redis 分布式锁解决。

常见问题

Q：Let’s Encrypt 免费SSL证书是否影响SEO？
A：不影响。Google 明确将 HTTPS 作为排名信号，且 Let’s Encrypt 证书与付费证书在搜索引擎眼中无差异；但若因续期失败导致 HTTPS 中断超 48 小时，可能被降权。

Q：能否用 Let’s Encrypt 申请国密SSL证书？
A：不能。Let’s Encrypt 不支持 SM2/SM3/SM4 算法，需选用符合 GM/T 0015-2012 的 国密SSL证书 品牌（如锐安信、江南天安）。

Q：申请免费SSL证书需要什么前提？
A：拥有可解析的域名、对 DNS 或 Web 服务器有管理权限、服务器时间误差 ≤5 分钟、开放 80/443 端口（HTTP-01）或支持 API 修改 DNS 记录（DNS-01）。