1. 證書(shū)類(lèi)型與驗(yàn)證級(jí)別

• Let’s Encrypt 免費(fèi)證書(shū)：
  僅提供域名驗(yàn)證型（DV）證書(shū)，驗(yàn)證流程僅確認(rèn)申請(qǐng)人對(duì)域名的控制權(quán)（如 DNS 記錄、服務(wù)器文件驗(yàn)證等），不驗(yàn)證企業(yè)或組織的真實(shí)身份。瀏覽器中僅顯示安全鎖圖標(biāo)，不顯示組織名稱(chēng)。
• 收費(fèi)證書(shū)：
  • DV 證書(shū)：與 Let’s Encrypt 的 DV 類(lèi)似，但部分廠商可能提供更便捷的驗(yàn)證流程或附加服務(wù)。
  • 企業(yè)驗(yàn)證型（OV）證書(shū)：需驗(yàn)證企業(yè)合法性（如營(yíng)業(yè)執(zhí)照、聯(lián)系方式等），瀏覽器顯示安全鎖和組織名稱(chēng)，增強(qiáng)用戶信任。
  • 增強(qiáng)驗(yàn)證型（EV）證書(shū)：最高級(jí)別驗(yàn)證，需通過(guò)嚴(yán)格的第三方審核（如法律文件、實(shí)體地址核實(shí)等），瀏覽器地址欄顯示綠色背景 + 組織名稱(chēng)，顯著提升可信度，常用于金融、電商等高敏感場(chǎng)景。

2. 有效期與續(xù)期規(guī)則

當(dāng)前政策（2025 年）：

• Let’s Encrypt 免費(fèi)證書(shū)：
  • 有效期仍為90 天，需通過(guò)自動(dòng)化工具（如 Certbot）自動(dòng)續(xù)期，未及時(shí)續(xù)期會(huì)導(dǎo)致證書(shū)過(guò)期。
• 收費(fèi)證書(shū)：
  • 最長(zhǎng)有效期為 398 天（約 13 個(gè)月），但實(shí)際中 CA 通常提供 1 年期證書(shū)（如 GlobalSign、DigiCert 等）。
  • 部分 CA 支持自動(dòng)續(xù)期或到期提醒服務(wù)，減少管理成本。

未來(lái)政策調(diào)整（CA/B 論壇提案 SC-081v3）：

• 2026 年 3 月 15 日起：
  • 所有 SSL/TLS 證書(shū)（包括收費(fèi)證書(shū)）的最長(zhǎng)有效期縮短至 200 天，無(wú)論類(lèi)型（DV/OV/EV）。
• 2027 年 3 月 15 日起：
  • 進(jìn)一步縮短至100 天。
• 2029 年 3 月 15 日起：
  • 最終縮短至47 天，同時(shí)驗(yàn)證數(shù)據(jù)（如域名所有權(quán)）的重復(fù)使用期限從 398 天縮短至 10 天，需更頻繁重新驗(yàn)證。

核心影響：

• 所有證書(shū)（包括收費(fèi)證書(shū)）的有效期將大幅縮短，手動(dòng)管理證書(shū)將變得不可行，企業(yè)需依賴(lài)自動(dòng)化工具（如 ACME 協(xié)議、證書(shū)管理系統(tǒng)）實(shí)現(xiàn)無(wú)感續(xù)期。
• EV 證書(shū)雖仍需每年審核企業(yè)信息，但有效期同步縮短，進(jìn)一步增加合規(guī)成本。

3. 域名支持范圍

• Let’s Encrypt 免費(fèi)證書(shū)：
  • 支持通配符域名（Wildcard）：需通過(guò) DNS 驗(yàn)證（ACME DNS-01）申請(qǐng)，HTTP 驗(yàn)證不支持。
  • 支持多域名（SAN 證書(shū)）：可綁定多個(gè)域名或子域名，但需手動(dòng)驗(yàn)證每個(gè)域名。
• 收費(fèi)證書(shū)：
  • 對(duì)通配符、多域名的支持更靈活，部分廠商允許一鍵申請(qǐng)包含多個(gè)域名的證書(shū)，甚至支持跨域名組合（如 example.com 和 another.com）。
  • 高端證書(shū)（如 EV）可能對(duì)多域名數(shù)量有限制，需單獨(dú)購(gòu)買(mǎi)附加項(xiàng)。

4. 技術(shù)支持與服務(wù)

• Let’s Encrypt 免費(fèi)證書(shū)：
  • 無(wú)官方付費(fèi)技術(shù)支持，依賴(lài)開(kāi)源社區(qū)（如 ACME 協(xié)議文檔、論壇）或第三方工具提供商的免費(fèi)教程，問(wèn)題排查需自行解決。
• 收費(fèi)證書(shū)：
  • 提供專(zhuān)業(yè)客服支持（如電話、郵件、工單），可協(xié)助解決證書(shū)申請(qǐng)失敗、安裝配置錯(cuò)誤、兼容性問(wèn)題等。
  • 部分廠商提供 SLA（服務(wù)級(jí)別協(xié)議），承諾故障響應(yīng)時(shí)效。

5. 保險(xiǎn)與法律保障

• Let’s Encrypt 免費(fèi)證書(shū)：
  • 不提供任何保險(xiǎn)或賠償保障，若因證書(shū)問(wèn)題導(dǎo)致數(shù)據(jù)泄露或業(yè)務(wù)損失，用戶需自行承擔(dān)責(zé)任。
• 收費(fèi)證書(shū)：
  • 高端證書(shū)（如 OV/EV）通常附帶責(zé)任保險(xiǎn)（如 GlobalSign EV 證書(shū)提供最高 175 萬(wàn)美元賠付），用于賠償因證書(shū)簽發(fā)錯(cuò)誤或加密失效導(dǎo)致的用戶損失。
  • 部分廠商提供法律支持，協(xié)助處理證書(shū)相關(guān)的合規(guī)性爭(zhēng)議。

6. 信任標(biāo)識(shí)與品牌展示

• Let’s Encrypt 免費(fèi)證書(shū)：
  • 瀏覽器中僅顯示基礎(chǔ)安全鎖圖標(biāo)，無(wú)獨(dú)立信任標(biāo)志（Site Seal），無(wú)法直接向用戶展示證書(shū)廠商背書(shū)。
• 收費(fèi)證書(shū)：
  • 可在網(wǎng)站上展示廠商信任標(biāo)志（如 DigiCert、Sectigo 的 Logo），部分廠商提供動(dòng)態(tài)驗(yàn)證徽章（點(diǎn)擊后顯示證書(shū)詳細(xì)信息），提升用戶對(duì)網(wǎng)站安全性的感知。
  • EV 證書(shū)的綠色地址欄是最顯著的信任標(biāo)識(shí)，尤其對(duì)金融、電商用戶影響顯著。

7. 安全性與兼容性

• 相同點(diǎn)：
  • Let’s Encrypt 與收費(fèi)證書(shū)均由受信任的 CA 簽發(fā)，加密強(qiáng)度（如 TLS 1.3、SHA-256）和瀏覽器信任度完全一致，不存在 “免費(fèi)證書(shū)安全性更低” 的問(wèn)題。
  • 均遵循 CA/B 論壇規(guī)范，確保證書(shū)簽發(fā)流程合規(guī)。

總結(jié)：如何選擇？

• 適合 Let’s Encrypt 的場(chǎng)景：
  個(gè)人博客、測(cè)試環(huán)境、非商業(yè)網(wǎng)站，或需要通配符 / 多域名但預(yù)算有限的場(chǎng)景，優(yōu)先考慮成本與靈活性。
• 適合收費(fèi)證書(shū)的場(chǎng)景：
  • 企業(yè)官網(wǎng)、電商平臺(tái)、金融服務(wù)等需要用戶信任的場(chǎng)景（尤其是 OV/EV 證書(shū)）。
  • 缺乏技術(shù)能力管理證書(shū)續(xù)期，或需要專(zhuān)業(yè)支持與保險(xiǎn)保障的組織。
  • 需要復(fù)雜域名配置（如跨域名 SAN、大量子域名）且希望簡(jiǎn)化管理的場(chǎng)景。
• 未來(lái)趨勢(shì)：
  隨著證書(shū)有效期大幅縮短，自動(dòng)化證書(shū)管理系統(tǒng)（如 ACME 協(xié)議、HashiCorp Vault）將成為企業(yè)剛需，無(wú)論選擇免費(fèi)還是收費(fèi)證書(shū)，均需提前布局自動(dòng)化續(xù)期策略以避免服務(wù)中斷。