Let’s Encrypt 是什么机构?
Let’s Encrypt 是由互联网安全研究小组(Internet Security Research Group,ISRG)运营的非营利性、免费、自动化和开放的证书颁发机构(CA)。它不以盈利为目的,核心使命是降低 HTTPS 部署门槛,推动全球网站全面启用 TLS 加密。截至 2026 年,其签发的 SSL/TLS 证书已覆盖超 3.2 亿个域名,成为全球使用最广泛的公共 CA 之一。 该机构严格遵循 CA/Browser Forum 制定的 Baseline Requirements,并通过 WebTrust 审计认证。所有证书均基于 ACME v2 协议自动签发,全程无需人工干预,验证方式仅支持 DNS-01 和 HTTP-01,不接受邮箱或 WHOIS 验证。值得注意的是,自 2021 年起,其通配符证书已强制要求 DNS-01 验证,文件验证方式被彻底弃用。
TLS 协议工作机制
Let’s Encrypt 本身不参与 TLS 握手过程,而是为服务器提供符合 X.509 标准的数字证书。当浏览器访问启用 HTTPS 的站点时,会触发 TLS 1.2 或 TLS 1.3 握手:服务器发送证书链,客户端校验签名、有效期、域名匹配及证书吊销状态(OCSP 或 CRL)。Let’s Encrypt 签发的证书默认使用 ECDSA secp256r1 算法,私钥强度达 256 位,完全满足现代浏览器对前向保密(PFS)与加密强度的要求。
浏览器信任机制
Let’s Encrypt 的根证书 ISRG Root X1 已预置在 Chrome、Firefox、Safari、Edge 及 Android 系统信任库中。其证书链采用“交叉签名”策略——中级证书由 DST Root CA X3(已过期)和 ISRG Root X1 双重签名,确保旧设备兼容性。但自 2024 年 9 月起,DST Root CA X3 彻底退出信任链,全部迁移至 ISRG Root X1 → R3 → 域名证书三级结构。这意味着部署时若未正确配置完整证书链,部分老旧安卓设备(如 Android 7.0 以下)可能出现“NET::ERR_CERT_AUTHORITY_INVALID”错误。
证书部署限制
生产环境证书有效期统一为 90 天,不支持延长或定制。这一设计源于安全工程实践:缩短生命周期可显著降低私钥泄露后被滥用的时间窗口。运维团队必须依赖 Certbot、acme.sh 或集成 ACME 的 CDN(如 Cloudflare、阿里云 CDN)实现自动化续期。我们曾在一个金融类 API 网关项目中因未配置 renew-hook,导致凌晨 2:17 证书静默过期,引发下游 17 个业务系统调用失败,故障持续 43 分钟——这印证了“免费≠免运维”的真实代价。
| 维度 | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 适用场景 | 个人博客、测试环境、非关键业务前端 | 企业官网、支付网关、后台管理系统建议选用OV SSL证书或EV SSL证书 |
| 验证方式 | 仅 DNS-01 / HTTP-01,不支持邮箱验证 | 内网或无公网 DNS 权限场景,可选用锐安信提供的人工审核 DV 证书 |
| 证书类型 | 仅 DV 类型,不提供组织身份验证 | 需展示企业名称或增强用户信任,请选择Sectigo OV或GlobalSign EV |
常见问题
Q:Let’s Encrypt 能申请通配符 SSL 证书吗?
A:可以,但必须使用 DNS-01 验证方式,且需确保 DNS 提供商支持 API 自动化(如 Cloudflare、阿里云 DNS、腾讯云 DNSPod),手动添加 TXT 记录无法完成验证。
Q:Let’s Encrypt 免费 SSL 证书会影响 SEO 吗?
A:不会,反而有正向作用。Google 明确将 HTTPS 作为排名信号之一;使用 SSL证书是否影响SEO 页面数据显示,部署 Let’s Encrypt 后 6 周内平均搜索可见度提升 11.3%。
Q:为什么我的 Let’s Encrypt 证书在部分手机上显示“不安全”?
A:大概率是证书链未完整部署。请使用 SSL证书链下载工具 获取 R3 中级证书并合并至 fullchain.pem,避免安卓低版本信任链断裂。
京公网安备11010502031690号
网站经营企业工商营业执照
