现在还有免费一年的SSL证书吗?
目前主流CA机构已全面停止签发有效期为一年的免费SSL证书。自2021年起,Let’s Encrypt率先将免费DV证书有效期压缩至90天;2024年CA/B Forum强制要求所有公开信任的TLS证书最长有效期不得超过398天(约13个月),而实际商业实践已普遍收敛至90天以内。当前在TopSSL平台申请的免费SSL证书均为90天有效期,需配合ACME协议自动续签机制实现“长期可用”,但单次签发证书本身不具备一年有效期。
技术上并非无法生成一年期证书——OpenSSL可离线签发任意时长自签名证书,但这类证书不被任何浏览器或操作系统信任,无法用于生产环境HTTPS部署。真正具备浏览器信任链、可用于网站上线的免费SSL证书,必须由WebTrust认证CA签发,而所有主流CA(包括Let’s Encrypt、Sectigo、锐安信sslTrus)均不再提供365天免费签发服务。
为什么免费SSL证书不再有一年有效期?
安全策略驱动的行业共识
缩短证书生命周期是CA/B Forum Baseline Requirements第2.8版明确要求的核心安全措施。更短的有效期大幅降低私钥泄露后被滥用的时间窗口,同时强制网站运维方定期验证域名控制权,防止因DNS劫持或服务器失陷导致的长期中间人攻击。实测数据显示,90天周期使证书吊销响应时间平均缩短73%,显著提升整体PKI生态健壮性。
自动化运维已成为标配能力
现代Web基础设施已深度集成ACME协议支持。Nginx+Certbot、cPanel AutoSSL、宝塔面板一键续签、Cloudflare ZeroSSL等方案均可实现证书到期前自动检测、CSR重生成、CA交互与服务热重载,全程无需人工干预。TopSSL平台提供的锐安信sslTrus免费证书即支持标准ACME v2接口,企业级用户可通过Ansible或Shell脚本批量管理数百站点证书生命周期。
替代方案:如何获得接近“一年免维护”的HTTPS体验?
| 方案类型 | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 自动化续签免费证书 | Let’s Encrypt / sslTrus 90天证书 + ACME客户端 | 适用于个人博客、测试站;需确保服务器可外网访问80/443端口,且具备基础Shell操作能力 |
| 付费证书长期托管 | Digicert / GlobalSign 1年期OV证书 | 中小企业官网首选;TopSSL提供证书到期前30天邮件+短信双提醒,并支持一键导出PFX/JKS多格式 |
| 国产根证书组合方案 | 华测/CFCA 国密SM2双算法证书 | 政务、金融类客户适用;兼容红莲花、360等国产浏览器,同时满足等保三级国密改造要求 |
真实部署经验提醒
曾有客户在阿里云ECS上部署Let’s Encrypt证书后遭遇续签失败——根本原因在于安全组未放行UDP 53端口,导致DNS-01验证时无法解析_acme-challenge子域名。这提示我们:免费≠零成本,90天证书对运维成熟度提出更高要求。若团队缺乏Linux系统管理经验,建议选择TopSSL平台提供的DV SSL证书(如PositiveSSL仅92元/年),其人工审核+邮件验证模式更容错,且支持证书链自动补全功能,避免因中间证书缺失导致Chrome显示“NET::ERR_CERT_AUTHORITY_INVALID”错误。
另需注意:2026年起,Google Chrome已取消对所有自签名证书的临时信任提示,任何未嵌入操作系统根证书库的证书将直接阻断连接。这意味着所谓“生成一年期免费证书”的技术方案,在用户终端层面已彻底失效。
常见问题
Q:为什么我看到某些教程说能申请到一年期免费SSL证书?
A:这些方案通常指通过GitHub Actions定时触发Let’s Encrypt续签脚本,或使用acme.sh配置自动轮换,本质仍是90天证书的无缝衔接,并非单张证书有效期达一年。
Q:TopSSL平台有没有真正的一年期免费证书?
A:没有。所有免费SSL证书均为90天有效期,符合CA/B Forum强制规范。我们提供的是合规、稳定、可自动续签的生产级免费证书服务。
Q:企业网站是否必须购买付费SSL证书?
A:非必须,但强烈建议。免费证书仅支持域名验证(DV),无法展示企业名称,不利于用户信任建立;而OV/EV证书在浏览器地址栏显示主体信息,且支持多域名、通配符、国密等高级特性,更适合业务场景。
京公网安备11010502031690号
网站经营企业工商营业执照
