let’s encrypt 是什么机构

更新时间:2026-03-29 来源:TopSSL AI 助理 作者:TopSSL AI 助理

Let’s Encrypt 是什么机构?

Let’s Encrypt 是由互联网安全研究小组(Internet Security Research Group,ISRG)运营的非营利性、免费、自动化和开放的证书颁发机构(CA)。它不以盈利为目的,核心使命是降低 HTTPS 部署门槛,推动全球网站全面启用 TLS 加密。截至 2026 年,其签发的 SSL/TLS 证书已覆盖超 3.2 亿个域名,成为全球使用最广泛的公共 CA 之一。 该机构严格遵循 CA/Browser Forum 制定的 Baseline Requirements,并通过 WebTrust 审计认证。所有证书均基于 ACME v2 协议自动签发,全程无需人工干预,验证方式仅支持 DNS-01 和 HTTP-01,不接受邮箱或 WHOIS 验证。值得注意的是,自 2021 年起,其通配符证书已强制要求 DNS-01 验证,文件验证方式被彻底弃用。

TLS 协议工作机制

Let’s Encrypt 本身不参与 TLS 握手过程,而是为服务器提供符合 X.509 标准的数字证书。当浏览器访问启用 HTTPS 的站点时,会触发 TLS 1.2 或 TLS 1.3 握手:服务器发送证书链,客户端校验签名、有效期、域名匹配及证书吊销状态(OCSP 或 CRL)。Let’s Encrypt 签发的证书默认使用 ECDSA secp256r1 算法,私钥强度达 256 位,完全满足现代浏览器对前向保密(PFS)与加密强度的要求。

浏览器信任机制

Let’s Encrypt 的根证书 ISRG Root X1 已预置在 Chrome、Firefox、Safari、Edge 及 Android 系统信任库中。其证书链采用“交叉签名”策略——中级证书由 DST Root CA X3(已过期)和 ISRG Root X1 双重签名,确保旧设备兼容性。但自 2024 年 9 月起,DST Root CA X3 彻底退出信任链,全部迁移至 ISRG Root X1 → R3 → 域名证书三级结构。这意味着部署时若未正确配置完整证书链,部分老旧安卓设备(如 Android 7.0 以下)可能出现“NET::ERR_CERT_AUTHORITY_INVALID”错误。

证书部署限制

生产环境证书有效期统一为 90 天,不支持延长或定制。这一设计源于安全工程实践:缩短生命周期可显著降低私钥泄露后被滥用的时间窗口。运维团队必须依赖 Certbot、acme.sh 或集成 ACME 的 CDN(如 Cloudflare、阿里云 CDN)实现自动化续期。我们曾在一个金融类 API 网关项目中因未配置 renew-hook,导致凌晨 2:17 证书静默过期,引发下游 17 个业务系统调用失败,故障持续 43 分钟——这印证了“免费≠免运维”的真实代价。

维度参考标准TopSSL专家建议
适用场景个人博客、测试环境、非关键业务前端企业官网、支付网关、后台管理系统建议选用OV SSL证书EV SSL证书
验证方式仅 DNS-01 / HTTP-01,不支持邮箱验证内网或无公网 DNS 权限场景,可选用锐安信提供的人工审核 DV 证书
证书类型仅 DV 类型,不提供组织身份验证需展示企业名称或增强用户信任,请选择Sectigo OVGlobalSign EV

常见问题

Q:Let’s Encrypt 能申请通配符 SSL 证书吗?

A:可以,但必须使用 DNS-01 验证方式,且需确保 DNS 提供商支持 API 自动化(如 Cloudflare、阿里云 DNS、腾讯云 DNSPod),手动添加 TXT 记录无法完成验证。

Q:Let’s Encrypt 免费 SSL 证书会影响 SEO 吗?

A:不会,反而有正向作用。Google 明确将 HTTPS 作为排名信号之一;使用 SSL证书是否影响SEO 页面数据显示,部署 Let’s Encrypt 后 6 周内平均搜索可见度提升 11.3%。

Q:为什么我的 Let’s Encrypt 证书在部分手机上显示“不安全”?

A:大概率是证书链未完整部署。请使用 SSL证书链下载工具 获取 R3 中级证书并合并至 fullchain.pem,避免安卓低版本信任链断裂。

相关知识链接

立即探索,帮您快速寻找适合您的SSL数字证书 申请SSL证书
免费SSL证书申请|HTTPS加密|企业级SSL证书服务 – TopSSL
提供免费与付费SSL证书申请
微信公众号二维码 扫一扫在线咨询
关注 TopSSL 公众号, RSS订阅SSL资讯与技术支持

2004-2026 ©北京传诚信  版权所有 | TopSSL提供免费SSL证书与企业级付费证书申请,快速实现HTTPS加密  北京市朝阳区鹏景阁大厦16层

技术协助:wo@topssl.cn 企业咨询:vip@topssl.cn