免费 SSL 证书的革命者：Let's Encrypt 让 HTTPS 普及成为可能

在互联网世界里，HTTPS 基本已经成为标配。但几年前，为网站部署 SSL/TLS 证书，往往需要花钱购买，还要面对复杂的申请和安装流程。而在这场 HTTPS 普及革命中，有一个名字不得不提——Let's Encrypt。

而自从 Let’s Encrypt 出现，一切都变得简单起来。本期我们就来聊聊这款颠覆行业的免费证书颁发机构。

安全证书的分类

SSL/TLS 数字证书（也叫安全证书）主要分为以下几类：

按照验证方式分类

1. 1. DV（Domain Validation，域名验证证书）
• • 只验证你是否拥有该域名。
• • 签发速度快，适合个人站点、博客、API。
• • Let’s Encrypt 提供的就是 DV 证书。
2. 2. OV（Organization Validation，组织验证证书）
• • 除了域名，还会验证企业信息（工商注册、电话等）。
• • 浏览器里点开证书能看到公司信息。
• • 适合企业官网、中小企业门户。
3. 3. EV（Extended Validation，扩展验证证书）
• • 验证最严格，需要提供大量企业、法律文件。
• • 部分浏览器地址栏会高亮显示公司名称。
• • 适合银行、电商、金融机构。

按照域名覆盖范围分类

1. 1. 单域名证书：只保护一个域名（如 example.com）。
2. 2. 多域名证书（SAN）：可同时保护多个不同域名（如 a.com、b.com）。
3. 3. 通配符证书：保护某个域名及所有子域名（如 *.example.com）。

📌 Let’s Encrypt 支持通配符证书。不难看出，又免费，功能又强大，想不出名都难啊~

为什么免费证书越来越受欢迎？

1. 普通网站的需求

• • 大多数网站只需要 基本的 HTTPS 加密，即 DV 证书就足够了。
• • 博客、个人站点、API 接口并不需要展示公司身份。
• • 免费证书（如 Let’s Encrypt）与收费 DV 证书在 加密强度、安全性上没有差别。

2. 自动化和便捷

• • Let’s Encrypt 支持全自动签发和续签（90 天有效期自动更新）。
• • 传统付费证书则需要人工续签、重新部署，比较繁琐。

3. 成本下降

• • 以前 HTTPS 证书要几百到几千元/年，现在免费证书普及，直接降低了运维成本。
• • 对初创公司、个人开发者特别友好。

4. 浏览器和行业推动

• • Chrome、Firefox、Safari 等主流浏览器，都强制标记 HTTP 网站为“不安全”。
• • 免费证书的普及，让全网 HTTPS 速度加快。

Let’s Encrypt 是什么？

Let’s Encrypt 是一个由 ISRG（Internet Security Research Group） 发起的免费、自动化、开放的证书颁发机构（CA）。它的目标是：
推动全网 HTTPS 普及，让加密不再是少数人的“特权”。

特点：

• • 永久免费：个人、企业都可申请，无需支付费用。
• • 自动化：通过 ACME 协议，证书申请、签发、更新全自动完成。
• • 被广泛信任：主流浏览器、操作系统都内置了 Let’s Encrypt 的根证书。
• • 证书有效期短：90 天自动过期，但可以自动续签，提升安全性。
• • 支持通配符证书：一张证书就能“通吃”所有子域名，非常方便省心。

为什么要用 Let’s Encrypt？

安全性提升：开启 HTTPS，避免敏感信息被窃取。
SEO 优势：搜索引擎更青睐 HTTPS 站点。
用户信任：浏览器绿锁标志，用户更放心访问。
省钱省心：免费获取，自动续期，无需人工反复配置。

📌 活跃的证书数量足以说明它的影响力

Let’s Encrypt 工作原理

Let’s Encrypt 采用 ACME 协议（Automatic Certificate Management Environment），流程大致如下：

1. 1. 验证域名所有权
• • DNS 验证：添加 TXT 记录
• • HTTP 验证：在网站目录放置验证文件
• • TLS-ALPN 验证：通过 TLS 握手确认
2. 2. 签发证书
• • 验证通过后，服务器会收到一份由 Let’s Encrypt 签发的 SSL/TLS 证书。
3. 3. 自动续期
• • 证书有效期只有 90 天，建议配置自动任务（如 cron），让 Certbot 或 acme.sh 工具定时续签。

常见部署方式

1. 使用 Certbot

Certbot 是 Let’s Encrypt 官方推荐工具。以 Nginx 为例：

# 安装 Certbot
sudo apt install certbot python3-certbot-nginx -y

# 获取证书并自动配置 Nginx
sudo certbot --nginx -d example.com -d www.example.com

自动完成 HTTPS 配置，还会定时更新。

2. 使用 acme.sh（轻量级方案）

很多人喜欢用 acme.sh，因为它更灵活。

# 安装 acme.sh
curl https://get.acme.sh | sh

# 申请证书（以 DNS 验证为例）
acme.sh --issue -d example.com --dns dns_cf

# 安装证书到指定路径
acme.sh --install-cert -d example.com \
--key-file /etc/nginx/ssl/example.com.key \
--fullchain-file /etc/nginx/ssl/example.com.crt \
--reloadcmd "systemctl reload nginx"

3. 集成在面板和容器中

• • 宝塔、1panel：一键申请 Let’s Encrypt 证书。
• • 群晖 NAS：系统自带支持自动申请。
• • Docker：可使用 nginx-proxy + letsencrypt-companion 自动化证书管理。

使用注意事项

证书有效期短：必须启用自动续签，否则网站会因证书过期而显示“安全警告”。
免费不等于低级：Let’s Encrypt 的安全性与付费证书一致，差别在于增值服务（如 EV 证书显示公司名称）。
流量限制：每周每个域名最多签发一定数量证书（一般足够用）。

应用场景

• • 个人博客：轻松启用 HTTPS，保护访客隐私。
• • 企业官网：降低运维成本，快速上线。
• • 微服务 & 内网系统：配合 Docker、K8s 实现自动化证书管理。
• • API 服务：让数据传输更安全，避免中间人攻击。

总结

在“全网 HTTPS”的时代，Let’s Encrypt 就像一把普及安全的钥匙，让加密通信不再高高在上，而是触手可及。

如果你的网站还在用 HTTP，不妨现在就试试 Let’s Encrypt ——免费、安全、自动化，让你的网站更专业、更可靠。

虽然网站首页有一个明显的捐助按钮，不过可以理解为这不是给个人看的，实际上它的日子过得应该不会太紧巴，不信你看那长长的捐助企业名单，放心用起来吧~

https://zerossl.com（90 天免费证书）

https://www.buypass.com/ssl/products/acme（不支持通配符域名、180 天有效期）

#HTTPS #Let’sEncrypt #SSL证书