在互联网世界里,HTTPS 基本已经成为标配。但几年前,为网站部署 SSL/TLS 证书,往往需要花钱购买,还要面对复杂的申请和安装流程。而在这场 HTTPS 普及革命中,有一个名字不得不提——Let's Encrypt。
而自从 Let’s Encrypt 出现,一切都变得简单起来。本期我们就来聊聊这款颠覆行业的免费证书颁发机构。
安全证书的分类
SSL/TLS 数字证书(也叫安全证书)主要分为以下几类:
按照验证方式分类
1. DV(Domain Validation,域名验证证书) • 只验证你是否拥有该域名。 • 签发速度快,适合个人站点、博客、API。 • Let’s Encrypt 提供的就是 DV 证书。 2. OV(Organization Validation,组织验证证书) • 除了域名,还会验证企业信息(工商注册、电话等)。 • 浏览器里点开证书能看到公司信息。 • 适合企业官网、中小企业门户。 3. EV(Extended Validation,扩展验证证书) • 验证最严格,需要提供大量企业、法律文件。 • 部分浏览器地址栏会高亮显示公司名称。 • 适合银行、电商、金融机构。
按照域名覆盖范围分类
1. 单域名证书:只保护一个域名(如 example.com)。2. 多域名证书(SAN):可同时保护多个不同域名(如 a.com、b.com)。3. 通配符证书:保护某个域名及所有子域名(如 *.example.com)。
📌 Let’s Encrypt 支持通配符证书。不难看出,又免费,功能又强大,想不出名都难啊~
为什么免费证书越来越受欢迎?
1. 普通网站的需求
• 大多数网站只需要 基本的 HTTPS 加密,即 DV 证书就足够了。 • 博客、个人站点、API 接口并不需要展示公司身份。 • 免费证书(如 Let’s Encrypt)与收费 DV 证书在 加密强度、安全性上没有差别。
2. 自动化和便捷
• Let’s Encrypt 支持全自动签发和续签(90 天有效期自动更新)。 • 传统付费证书则需要人工续签、重新部署,比较繁琐。
3. 成本下降
• 以前 HTTPS 证书要几百到几千元/年,现在免费证书普及,直接降低了运维成本。 • 对初创公司、个人开发者特别友好。
4. 浏览器和行业推动
• Chrome、Firefox、Safari 等主流浏览器,都强制标记 HTTP 网站为“不安全”。 • 免费证书的普及,让全网 HTTPS 速度加快。
Let’s Encrypt 是什么?
Let’s Encrypt 是一个由 ISRG(Internet Security Research Group) 发起的免费、自动化、开放的证书颁发机构(CA)。它的目标是:
推动全网 HTTPS 普及,让加密不再是少数人的“特权”。
特点:
• 永久免费:个人、企业都可申请,无需支付费用。 • 自动化:通过 ACME 协议,证书申请、签发、更新全自动完成。 • 被广泛信任:主流浏览器、操作系统都内置了 Let’s Encrypt 的根证书。 • 证书有效期短:90 天自动过期,但可以自动续签,提升安全性。 • 支持通配符证书:一张证书就能“通吃”所有子域名,非常方便省心。
为什么要用 Let’s Encrypt?
安全性提升:开启 HTTPS,避免敏感信息被窃取。
SEO 优势:搜索引擎更青睐 HTTPS 站点。
用户信任:浏览器绿锁标志,用户更放心访问。
省钱省心:免费获取,自动续期,无需人工反复配置。
📌 活跃的证书数量足以说明它的影响力
Let’s Encrypt 工作原理
Let’s Encrypt 采用 ACME 协议(Automatic Certificate Management Environment),流程大致如下:
1. 验证域名所有权 • DNS 验证:添加 TXT 记录 • HTTP 验证:在网站目录放置验证文件 • TLS-ALPN 验证:通过 TLS 握手确认 2. 签发证书 • 验证通过后,服务器会收到一份由 Let’s Encrypt 签发的 SSL/TLS 证书。 3. 自动续期 • 证书有效期只有 90 天,建议配置自动任务(如 cron),让 Certbot 或 acme.sh 工具定时续签。
常见部署方式
1. 使用 Certbot
Certbot 是 Let’s Encrypt 官方推荐工具。以 Nginx 为例:
# 安装 Certbot
sudo apt install certbot python3-certbot-nginx -y
# 获取证书并自动配置 Nginx
sudo certbot --nginx -d example.com -d www.example.com自动完成 HTTPS 配置,还会定时更新。
2. 使用 acme.sh(轻量级方案)
很多人喜欢用 acme.sh,因为它更灵活。
# 安装 acme.sh
curl https://get.acme.sh | sh
# 申请证书(以 DNS 验证为例)
acme.sh --issue -d example.com --dns dns_cf
# 安装证书到指定路径
acme.sh --install-cert -d example.com \
--key-file /etc/nginx/ssl/example.com.key \
--fullchain-file /etc/nginx/ssl/example.com.crt \
--reloadcmd "systemctl reload nginx"3. 集成在面板和容器中
• 宝塔、1panel:一键申请 Let’s Encrypt 证书。 • 群晖 NAS:系统自带支持自动申请。 • Docker:可使用 nginx-proxy+letsencrypt-companion自动化证书管理。
使用注意事项
证书有效期短:必须启用自动续签,否则网站会因证书过期而显示“安全警告”。
免费不等于低级:Let’s Encrypt 的安全性与付费证书一致,差别在于增值服务(如 EV 证书显示公司名称)。
流量限制:每周每个域名最多签发一定数量证书(一般足够用)。
应用场景
• 个人博客:轻松启用 HTTPS,保护访客隐私。 • 企业官网:降低运维成本,快速上线。 • 微服务 & 内网系统:配合 Docker、K8s 实现自动化证书管理。 • API 服务:让数据传输更安全,避免中间人攻击。
总结
在“全网 HTTPS”的时代,Let’s Encrypt 就像一把普及安全的钥匙,让加密通信不再高高在上,而是触手可及。
如果你的网站还在用 HTTP,不妨现在就试试 Let’s Encrypt ——免费、安全、自动化,让你的网站更专业、更可靠。
虽然网站首页有一个明显的捐助按钮,不过可以理解为这不是给个人看的,实际上它的日子过得应该不会太紧巴,不信你看那长长的捐助企业名单,放心用起来吧~
https://zerossl.com(90 天免费证书)
https://www.buypass.com/ssl/products/acme(不支持通配符域名、180 天有效期)
