本文属于「SSL证书选购指南」专题内容,查看更多相关内容: → SSL证书选购指南
免费SSL证书支持哪些域名类型?
免费SSL证书支持标准DNS域名,包括二级域名(如 example.com)、带www前缀的子域名(如 www.example.com)以及通用子域名(如 api.example.com)。不支持纯IP地址、内网地址(如 192.168.x.x)、localhost 或未注册的私有TLD(如 .dev 本地调试需手动配置)。Let’s Encrypt 等主流免费CA已全面停用WHOIS验证,仅接受DNS、HTTP或TLS-ALPN三种域控制验证方式。
技术背景:域名验证机制演进
DNS验证成为主流强制方式
自2021年12月起,CA/B Forum强制要求所有通配符证书必须采用DNS验证,HTTP文件验证被禁用。这一变更直接影响免费SSL证书的适用边界——若您的域名DNS服务商不支持TXT记录快速写入(如部分校园网DNS或老旧IDC后台),将无法完成验证。我们实测发现,阿里云、腾讯云、Cloudflare等主流平台DNS解析延迟通常在60秒内,而某些小众注册商可能需等待长达15分钟。
中文域名与Punycode兼容性
免费SSL证书支持UTF-8编码的中文域名,但实际签发时会自动转为Punycode格式(如 “中国.网址” → “xn--fiqs8s.xn--zrsw24d”)。需注意:部分老旧系统(如Windows Server 2008 R2默认IE8内核)无法正确解析Punycode证书链,导致“NET::ERR_CERT_COMMON_NAME_INVALID”错误。建议生产环境优先选用英文域名,测试阶段可使用TopSSL提供的DNS解析记录查询工具预检。
工程实践:不同域名类型的部署限制
单域名证书仅覆盖一个精确FQDN,例如申请 www.example.com 不自动包含 example.com;两者需分别申请或选用多域名证书。通配符证书(*.example.com)仅保护一级子域名,无法覆盖二级子域(如 dev.api.example.com)。我们曾遇到客户误用通配符证书部署到Kubernetes Ingress,因Ingress Controller未启用SNI扩展,导致部分边缘浏览器握手失败。
| 域名类型 | 免费SSL支持情况 | TopSSL专家建议 |
|---|---|---|
| 标准二级域名(example.com) | ✅ 完全支持 | 推荐首选,兼容性最佳 |
| 带www前缀(www.example.com) | ✅ 支持,但需单独申请 | 建议与根域合并为多域名证书,避免双证书管理 |
| 通配符(*.example.com) | ✅ 支持(Let’s Encrypt / Sectigo 免费版) | 注意:不支持续费,90天后需重新DNS验证 |
| 多级子域名(dev.api.example.com) | ❌ 不支持通配符嵌套 | 应选用多域名证书或SAN证书 |
| 纯IP地址(1.2.3.4) | ❌ 已全面禁止 | 可申请内网IP SSL证书替代方案 |
真实运维经验:三个易踩坑场景
第一,泛解析域名(如 *.test.example.com A 记录指向同一服务器)无法通过免费CA验证——CA只校验DNS TXT记录是否存在于申请域名下,不追溯上游A记录。
第二,CDN回源域名若与站点主域不一致(如源站为 origin.example.com,CDN CNAME为 cdn.example.com),必须为两个域名分别申请证书。
第三,部分云厂商负载均衡器(如AWS ALB)要求证书必须包含Subject Alternative Name(SAN)字段,而某些旧版免费证书生成工具默认不写入,需手动补全。
常见问题
Q:免费SSL证书能用于小程序或APP后端域名吗? A:可以,但微信小程序要求HTTPS域名必须在MP后台显式备案并添加业务域名白名单;APP调用需确保Android/iOS系统信任该证书链(Let’s Encrypt R3根已内置,无需额外适配)。
Q:申请了www和不带www两个免费证书,是否算占用两次额度? A:是的。TopSSL平台按订单计数,每个独立申请视为1次,年度免费额度为10次,超限后需支付2元/张。
Q:能否把免费证书部署到多个服务器? A:可以,证书文件(PEM格式)无绑定设备限制,但私钥必须严格保密。我们建议使用SSL证书格式转换工具生成统一JKS/PFX供Java/.NET环境复用。
京公网安备11010502031690号
网站经营企业工商营业执照
