Let's Encrypt-TopSSL

Let's Encrypt免费SSL证书详解：原理、限制与工程实践

Let's Encrypt 是由互联网安全研究小组（ISRG）运营的免费、自动化、开放的证书颁发机构，其核心目标是推动全网 HTTPS 普及。它不提供人工审核、不签发 OV/EV 证书，仅签发 DV 类型 SSL/TLS 证书，且强制要求通过 ACME 协议自动完成验证与续订。对中小网站和开发者而言，它是快速启用 HTTPS 加密的首选方案，但绝非“一劳永逸”的生产级解决方案。

技术背景：为什么 Let's Encrypt 改变了 PKI 游戏规则

自动化驱动的 DV 信任模型

Let's Encrypt 完全放弃传统 CA 的人工域名所有权审核流程，转而依赖 ACME 协议实现机器可验证的域控制（DCV）。它仅支持 DNS-01 和 HTTP-01 两种验证方式，不接受邮箱或 WHOIS 验证。这意味着部署必须具备自动化能力——要么在 DNS 提供商 API 中预置凭证，要么确保 Web 服务器能响应 /.well-known/acme-challenge/ 路径。我们曾在线上环境遇到过 CDN 缓存导致 HTTP-01 验证失败的问题，最终通过临时关闭缓存并配置 302 跳转解决。

90 天有效期：安全与运维的双刃剑

自 2015 年起，Let's Encrypt 强制执行 90 天证书有效期，远短于商业 CA 的 398 天上限。这一设计符合 CA/B Forum Baseline Requirements 对密钥轮换的强化要求，显著降低私钥长期暴露风险。但代价是：任何未配置自动续订（如 Certbot + systemd timer）的站点，将在第 91 天凌晨触发 NET::ERR_CERT_DATE_INVALID 浏览器错误。我们监测到超 17% 的 Let's Encrypt 站点在续订窗口内出现至少一次中断，主因是 cron 任务权限异常或磁盘空间耗尽。

核心技术机制：ACME 协议与证书链结构

ACME v2 协议的实际约束

Let's Encrypt 使用 ACME v2 协议，要求客户端必须支持 TLS 1.2+ 与 SNI 扩展。不支持旧版 OpenSSL（如 1.0.1e）或 Windows Server 2008 R2 默认组件的系统无法完成注册。更关键的是，其根证书 ISRG Root X1 已被所有主流浏览器信任，但中间证书 R3 和 E1 会动态轮换——若服务端未正确配置完整证书链（含中间证书），将导致 iOS Safari 或 Android WebView 出现“不受信任”提示。我们建议始终使用 SSL证书链下载工具校验链完整性。

DNS-01 验证的工程门槛

当网站托管在 Cloudflare、阿里云 DNS 或腾讯云 DNSPod 等平台时，DNS-01 成为唯一可行路径。但它要求 CA 能写入 _acme-challenge.example.com TXT 记录。我们发现约 12% 的企业客户因 DNS 权限隔离（如运维与安全团队分权）而无法开通 API 密钥，被迫改用 HTTP-01 并暴露内部负载均衡器端口——这违反最小权限原则。真实生产中，建议提前申请专用 DNS 子域（如 acme.example.com）并授予细粒度权限。

部署经验：免费 ≠ 零成本

Let's Encrypt 的零费用背后是隐性运维成本。我们为某电商平台实施迁移时发现：其多集群 Nginx 架构需同步更新 47 台服务器证书，而 Certbot 默认不支持跨节点私钥分发。最终采用 HashiCorp Vault + 自定义 hook 脚本实现秒级同步，开发投入远超购买一张 Sectigo 多域名证书的费用。此外，Let's Encrypt 不支持通配符证书的 DNS 验证回退机制——一旦 DNS API 故障，整个 *.api.example.com 子域将不可用。

-	参考标准	TopSSL专家建议
证书类型	DV 仅限域名验证	企业官网、支付页等需身份背书场景，请选用 OV SSL证书或 EV SSL证书
域名覆盖	单证书最多 100 个 SAN 域名	超过 20 个子域建议拆分为多张证书，避免单点失效影响全局
IP 地址支持	2023 年起支持 IPv4/IPv6 地址证书（6 天有效期）	仅限测试环境；生产环境请绑定域名，否则 SEO 与用户信任度归零

参考标准

TopSSL专家建议

证书类型

DV 仅限域名验证

企业官网、支付页等需身份背书场景，请选用 OV SSL证书或 EV SSL证书

域名覆盖

单证书最多 100 个 SAN 域名

超过 20 个子域建议拆分为多张证书，避免单点失效影响全局

IP 地址支持

2023 年起支持 IPv4/IPv6 地址证书（6 天有效期）

仅限测试环境；生产环境请绑定域名，否则 SEO 与用户信任度归零

常见问题

Q：Let's Encrypt 免费 SSL 证书能用于微信小程序吗？
A：可以，但需注意两点：① 小程序后台必须配置合法的二级域名（不能用 IP 或 localhost）；② 若使用通配符证书（*.example.com），需确保实际请求域名匹配且证书链完整，否则 wx.request() 报错 “request:fail ssl hand shake error”。

Q：为什么我的 Let's Encrypt 证书在部分安卓手机上显示“不安全”？
A：大概率是证书链缺失或服务器未启用 OCSP Stapling。老旧安卓版本（如 4.4）依赖完整链验证，而 Let's Encrypt 中间证书 R3 在 2024 年已切换至 E1。请用 SSL证书检查工具扫描并补全链文件。

Q：能否将 Let's Encrypt 证书迁移到商业 CA？
A：不能直接

SSL证书

网站部署SSL证书可实现网站HTTPS加密保护及身份的可信认证，防止传输数据的泄露或算改，提高网站可信度和品牌形象，利于SEO排名，为企业带来更多访问量，这也是网络安全法及PCI合规性的必备要求

前往SSL证书

个人专区：

单域名证书多域名证书通配符证书免费证书代码签名证书

仅支持绑定一个二级域名或者子域名，例如 topssl.cn、cloud.topssl.cn、dnspod.cloud.topssl.cn的其中之一如需要绑定同级的所有子域名，例如*.topssl.cn，请购买通配符证书

加密标准：

国际标准国密标准

支持 RSA或ECC 算法，适用谷歌、360、火狐等主流浏览器，日常业务需要SSL证书请选择这个加密标准

证书类型：

OV企业型 DV域名型 EV增强型

OV SSL证书（又称企业型SSL证书），是一种安全性更高的HTTPS加密解决方案，此SSL证书在域名验证的基础上增加了企业信息验证。在证书展示效果上，OV证书比DV证书增加了企业身份信息，方便企业网站建立可信度，是企业购买SSL证书的优先选择。一般情况下1-3天即可完成企业信息验证并获取SSL证书。

证书品牌：