ISRG 是什么?与 Let's Encrypt 和 SSL 证书的关系详解
ISRG(Internet Security Research Group,互联网安全研究小组)是一家非营利性组织,成立于2013年,核心使命是“提升互联网通信的安全性与隐私性”。它不直接面向用户签发 SSL 证书,而是作为 Let's Encrypt 的运营主体和法律实体,构建并维护全球最大的自动化、免费、开放的公共证书颁发机构(CA)。所有 Let's Encrypt 签发的 DV SSL 证书,其根证书均由 ISRG 自主控制与更新,技术上完全独立于传统商业 CA(如 DigiCert、Sectigo)。
ISRG 的技术实现严格遵循 CA/Browser Forum 基线要求(BRs),并通过 WebTrust 审计认证。其根证书 ISRG Root X1 已被 Chrome、Firefox、Safari、Edge 及 Android 系统预置信任;2024 年启用的 ISRG Root X2(ECDSA)进一步强化前向保密与国密兼容演进路径。值得注意的是:ISRG 不提供 OV/EV 证书,也不支持人工审核或企业身份验证——这决定了 Let's Encrypt 仅适用于自动化部署场景,不满足等保三级、金融级或品牌信任展示需求。
ISRG 与主流 SSL 证书品牌的本质区别
传统商业 CA(如 DigiCert、Sectigo、锐安信)以企业客户为核心,提供多层级验证(DV/OV/EV)、高保障赔付、定制化证书链、国密 SM2 支持及人工客服响应;而 ISRG 主导的 Let's Encrypt 是基础设施级服务,强调零成本、全自动化、90 天超短有效期与开源透明。工程实践中,我们常将 ISRG 视为“TLS 加密的水电煤”,适合 DevOps 流水线、CI/CD 集成、测试环境或轻量级个人网站;但生产核心系统、政务平台或电商收银页,仍需选用经工信部许可、具备国产根信任的 锐安信 或 CFCA 等合规 CA。
| 对比维度 | ISRG / Let's Encrypt | TopSSL 推荐商用 CA(如锐安信、DigiCert) |
|---|---|---|
| 验证类型 | 仅支持域名控制验证(DCV),全自动 DNS-01 / HTTP-01 | 支持 DV、OV、EV 全验证等级,含人工尽调与营业执照核验 |
| 证书有效期 | 强制 90 天,需自动续期(acme.sh / certbot) | 最长 398 天(2026 年新规),支持多年订阅与统一管理 |
| 浏览器信任覆盖 | 全球主流浏览器 100% 信任,但部分国产政务浏览器需额外配置 | 预置信任 + 国产根证书(如锐安信 domroot、CFCA 中国根),适配红莲花、360 等 |
| 适用场景 | 静态站点、API 服务、CI/CD 构建环境、临时测试域名 | 政府网站、银行门户、电商平台、小程序后端、等保三级系统 |
为什么不能用 ISRG 替代商用 SSL 证书?真实运维教训
去年某省级人社服务平台曾尝试用 Let's Encrypt 全站替换原有 CFCA OV 证书,上线后第 37 天因证书自动续期失败导致 23 个子域名 HTTPS 中断,影响社保查询、养老金申领等关键业务。根本原因在于:其内网 DNS 解析策略未同步开放 _acme-challenge 查询权限,且无 fallback 机制。商用 CA 提供的证书监控告警、人工续签通道与离线 CSR 签发能力,在此场景中不可替代。此外,ISRG 不支持通配符证书绑定 IP 地址、不兼容老旧 IIS6 或 Java 7u80 以下环境——这些限制在政企环境中极易触发故障。
常见问题
Q:ISRG Root X1 和 X2 根证书有什么区别?
A:X1 是 RSA-4096 根,已广泛信任;X2 是 ECDSA-P384 根,体积更小、握手更快,2024 年起新证书默认链入 X2,但旧设备兼容性略弱,建议双根部署。
Q:Let's Encrypt 的证书能否用于微信小程序后台?
A:可以,但必须确保域名已完成 ICP 备案且 HTTPS 服务端支持 TLS 1.2+,同时小程序服务器配置中禁用 HTTP 重定向(否则触发 ERR_TOO_MANY_REDIRECTS)。
Q:ISRG 是否支持国密 SM2 证书?
A:不支持。国密算法需由国内 CA 如 华测、锐安信 或 CFCA 签发,且依赖国密浏览器(如红莲花、360 安全浏览器国密版)。
京公网安备11010502031690号
网站经营企业工商营业执照
