Let's Encrypt
约 1084 字大约 4 分钟
2025-11-05
https://letsencrypt.org/zh-cn/how-it-works/
证书对比
| 维度 | Let's Encrypt (公共可信CA) | 本地/私有CA证书 | 自签名证书 | 商业证书 |
|---|---|---|---|---|
| 颁发者 | 公共可信的证书颁发机构 (Let's Encrypt) | 自行创建私有CA证书 | 通过私有CA证书签发 | 公共可信的商业CA |
| 浏览器信任 | ✅ 完全信任,无安全警告 | ❌ 默认不被信任,需手动导入根证书 | ❌ 不被信任,会显示安全警告 | ✅ 完全信任,无安全警告 |
| 成本 | 免费 | 免费 | 免费 | 每年几十到数千美元不等 |
| 获取方式 | 自动化ACME客户端 (如 certbot、acme.sh) | 自行搭建CA体系并签发 | 用OpenSSL等工具自行生成 | 向商业CA购买,验证后签发 |
| 验证等级 | 域名验证 (DV) | 自定义 | - | DV、组织验证(OV)、扩展验证(EV) |
| 功能特性 | 基础DV证书,支持通配符 | 完全自定义 | 仅加密,无身份信任 | OV/EV证书显示公司名,提供更高保障和保险 |
| 主要用途 | 个人网站、博客、API接口、任何需要HTTPS的公开服务 | 大型企业内网、政府机构、物联网设备集群 | 内部开发、测试环境、局域网服务 | 企业官网、电子商务、金融平台等需要高信任度的场景 |
| 优缺点 | 优: 免费、自动化 缺: 仅DV,90天有效期 | 优: 内部管理灵活,免费 缺: 部署维护复杂,仅限内部 | 优: 完全控制、即刻获取 缺: 无浏览器信任,需手动管理 | 优: 高信任度、技术支持、保险保障 缺: 成本高,申请流程可能较复杂 |
💡 如何选择适合你的证书?
您可以根据以下场景来判断哪种证书最适合您:
面向公众的网站或服务 (例如:个人博客、公司官网、电商平台)
- 首选:Let's Encrypt
- 理由:它是免费的,并且被所有主流浏览器信任。自动化续期解决了证书过期的最大痛点。对于绝大多数网站来说,它已经完全足够。
- 考虑:商业OV/EV证书
- 理由:如果你的用户是高安全敏感群体(如银行、金融平台),或者你需要在地址栏显示公司名称(EV证书)以增强用户信任,那么投资商业证书是值得的。
- 首选:Let's Encrypt
开发、测试或内部环境 (例如:localhost,
app.internal, 路由器管理界面)- 选择1:自签名证书
- 理由:快速简单。当你只需要在开发机器或少数几台设备上测试HTTPS功能时,用OpenSSL几分钟就能搞定。缺点是每次访问都需要忽略浏览器的安全警告。
- 选择2:本地/私有CA
- 理由:一劳永逸。如果你有多个内部服务(例如
wiki.internal,jenkins.internal),为每个服务创建自签名证书会很麻烦。搭建一个私有CA,只需将CA根证书导入到你的电脑/设备中,所有由该CA签发的证书都会被信任,体验和公网证书一样。
- 理由:一劳永逸。如果你有多个内部服务(例如
- 选择1:自签名证书
企业内网或物联网设备
- 首选:本地/私有CA
- 理由:你可以完全控制证书的颁发、吊销和生命周期,不依赖外部CA。这对于大规模设备管理和安全策略统一至关重要。
- 首选:本地/私有CA
🛠️ 核心概念解读
浏览器信任链:你的浏览器预装了一组“根证书颁发机构”的列表。只有当证书的签发链最终能追溯到这些受信任的根时,浏览器才会显示“安全”。
- Let's Encrypt 和 商业CA 的根证书都在这个列表里。
- 自签名证书 不在这个链条上,所以不被信任。
- 本地CA证书 需要你手动将其根证书加入到“受信任的根证书颁发机构”存储区,之后它签发的证书就会被信任。
验证等级:
- DV (域名验证):只证明你拥有该域名。Let's Encrypt 提供的就是DV证书。
- OV (组织验证):除了域名控制权,还验证申请单位的真实存在性。
- EV (扩展验证):最严格的审核,会在浏览器地址栏显示公司名称。