免费SSL证书:能用但有边界,90天是当前行业现实
目前没有真正“永久有效”的免费SSL证书。主流CA(包括Let’s Encrypt、Sectigo、锐安信sslTrus)签发的免费DV证书有效期统一为90天,这是CA/Browser Forum强制要求,也是浏览器厂商(Chrome、Firefox、Safari)共同执行的信任策略。超过90天未续签,网站将触发“您的连接不是私密连接”等安全警告。
技术背景:为什么免费SSL证书必须90天一换?
这不是商业限制,而是PKI体系演进后的安全共识。2021年起,CA/B论坛将公共信任SSL/TLS证书最长有效期从825天压缩至398天;2024年进一步收紧至90天。核心逻辑是:缩短生命周期可大幅降低私钥泄露、中间人攻击、CRL/OCSP响应延迟带来的风险窗口。真实运维中我们见过太多因证书过期导致支付中断、API调用失败、小程序白屏的事故——90天强制轮换本质是把“人为疏忽”转化为“自动化运维”的驱动力。
核心技术机制:DV验证 + 自动化签发 = 免费基础
域名控制验证(DCV)是唯一门槛
免费SSL证书仅做域名所有权验证,不审核企业资质。验证方式有三类:DNS解析记录(_acme-challenge)、HTTP文件放置(/.well-known/acme-challenge/)、或邮箱验证(WHOIS注册邮箱)。TopSSL平台支持全部三种,其中DNS验证兼容性最强,适合CDN、WAF、云主机等复杂架构。
ACME协议实现零人工干预
所有主流免费证书均基于ACME v2协议自动完成CSR生成、验证、签发、下载全流程。例如通过acme.sh脚本+Cloudflare API,可实现全自动续签;在宝塔面板中启用“Let’s Encrypt”插件,1次点击即可完成部署与7天前自动续签配置。但需注意:若服务器时间不同步(误差>5分钟),ACME请求将被CA拒绝——这是我们在客户现场高频遇到的真实问题。
工程实践建议:别只盯着“免费”,要看全链路成本
免费证书虽无采购费用,但隐性成本不可忽视:运维团队需保障续签服务长期运行(如systemd timer、cron job)、监控证书剩余有效期(推荐接入Zabbix/Prometheus告警)、处理DNS TTL缓存导致的验证失败。某电商客户曾因DNS服务商未及时同步TXT记录,导致凌晨3点批量续签失败,影响23个子站HTTPS访问。
对于生产环境,我们建议采用“免费证书+专业托管”组合:在TopSSL申请免费ssl证书,同时使用其证书监控与自动推送服务,避免人工巡检漏报。若网站涉及用户登录、支付、政务数据,则应直接选用OV SSL证书或EV SSL证书——身份认证价值远超加密本身。
常见问题
Q:免费SSL证书能用于企业官网吗?
A:技术上可以,但浏览器地址栏仅显示锁形图标,不展示企业名称。银行、政务、电商类网站建议选用OV或EV证书以建立用户信任。
Q:一个免费证书能保护多个域名吗?
A:支持,但需选择多域名(SAN)类型。例如多域名证书可一次性绑定example.com、www.example.com、api.example.com三个主体,无需分别申请。
Q:通配符证书有免费版吗?
A:有。Let’s Encrypt与锐安信sslTrus均提供免费通配符证书,但验证必须使用DNS方式,且不支持二级以上泛域名(如*.dev.example.com需单独申请)。
Q:证书部署后为何浏览器仍提示不安全?
A:常见原因包括:证书链不完整(需补全中间证书)、混合内容(HTTP资源加载)、HSTS预加载未启用、或服务器TLS配置未禁用SSLv3/TLS 1.0等老旧协议。
京公网安备11010502031690号
网站经营企业工商营业执照
