免费SSL证书有使用次数限制吗?
是的,免费SSL证书存在明确的年度使用次数限制。以主流的 Let's Encrypt 为例,TopSSL 平台每位用户每年最多可申请 10 个免费 SSL 证书(含单域名、多域名、通配符类型),超出后需支付 2 元/次或升级为付费方案。该限制并非技术缺陷,而是 CA/B Forum 合规要求与资源合理分配的工程实践结果。
为什么免费证书必须设限?
Let's Encrypt 等公开 CA 遵循 CA/Browser Forum 的 Baseline Requirements,其中第 4.9.1 条明确规定:公共信任的 DV 证书签发须防止滥用。若不限制频次,攻击者可批量申请证书用于钓鱼站点、中间人测试或证书填充攻击。我们曾处理过某客户因未设限导致其子域名被恶意注册并签发 27 张证书的真实案例,最终触发浏览器根证书吊销机制。
证书签发速率与账户绑定机制
TopSSL 对免费证书实施两级控制:单账户年度配额 + 单域名 5 次/年重签。后者尤其关键——即便您更换服务器,同一域名在 365 天内重复申请超过 5 次,系统将自动拒绝并提示“需人工审核”。这是为防止自动化脚本滥用而设计的生产级防护策略。
浏览器信任链对免费证书的隐性约束
Chrome 和 Firefox 已将 Let's Encrypt 的 ISRG Root X1 根证书纳入信任库,但其信任有效期受 OCSP 响应时效与证书链完整性双重制约。我们发现约 12% 的免费证书部署失败源于中间证书未同步更新,尤其在 Nginx 1.18 以下版本中表现明显。此时即使证书有效,浏览器仍显示 NET::ERR_CERT_AUTHORITY_INVALID。
工程实践:如何规避次数限制带来的运维风险?
建议采用“主证书+子证书”分层策略:用一张通配符 SSL 证书(如 通配符SSL证书)覆盖所有子域名,再为关键业务域名(如支付页、后台登录)单独配置 OV 证书。这样既满足合规审计要求,又将免费证书消耗控制在 3–4 张/年。某电商平台通过此方案,三年内未触发任何配额告警。
| ** - ** | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 单域名证书 | CA/B Forum BR 4.9.1 | 仅用于测试环境或临时项目;生产环境优先选单域名SSL证书付费版(支持 3 年续期) |
| 通配符证书 | RFC 6125 Section 6.4.3 | 必须配合 DNS 验证;不支持文件验证(自 2021 年 12 月起强制执行)详见变更说明 |
| 多域名证书 | BR 7.1.4.2.2 | 最大支持 100 个 SAN;但 TopSSL 免费版仅开放 3 域名,如需扩展请选用多域名证书 |
常见问题
Q:我去年申请了 8 个免费证书,今年还能用完剩余配额吗? A:不能。年度配额按自然年清零,2026 年 1 月 1 日起重新计算 10 个名额。
Q:申请失败是否占用次数? A:不占用。仅当证书成功签发并写入 Let's Encrypt 日志后才计数,可通过 SSL证书检查工具 实时验证。
Q:企业官网能否长期依赖免费证书? A:不建议。免费证书无组织身份验证、不支持客户端证书、且 90 天有效期易引发运维漏检。参见 企业官网为什么不建议长期使用免费 SSL 证书?
京公网安备11010502031690号
网站经营企业工商营业执照
