买SSL证书前先搞懂这几件事，能省不少冤枉钱

今天咱们就聊聊，买SSL证书之前，有哪些坑是必须先搞清楚的。先说最核心的问题：你到底需要什么级别的证书？SSL证书分三个档位，DV、OV、EV，区别不在于加密强度（加密技术上是一样的），而在于“你到底是谁”这事儿被验证到什么程度。DV是最基础的，只验证你对这个域名有没有控制权，十分钟就能签发，价格也便宜，个人博客、测试站点用它完全够用。但它有个硬伤：不验证企业身份。这意味着黑客可以注册一个跟“taoba0.com”长得像的域名，也弄张DV证书，浏览器照样会亮那个小锁——用户根本分不清真假。

OV证书就进了一步，CA机构会真的去查你公司的营业执照、核实企业存续状态，证书详情里会显示你的公司名称。中小型企业官网、电商平台，想让用户看着放心点的，选这个档次比较合适。EV是最高档，审核最严，以前会在浏览器地址栏直接显示绿色公司名，现在虽然UI改了，但依然是金融、政务这类高敏感场景的首选。

所以第一件事就是想明白：你是只想让数据加密传输，还是想让用户知道“这家公司是真实存在的”？前者DV够用，后者OV起步。

第二个容易踩坑的点是域名类型。

很多人以为“我买张证书，网站所有子域名就都保护了”——不是这么回事。单域名证书就只能保护你填进去的那一个域名，比如www.example.com，demo.example.com不在保护范围内。通配符证书才能保护*.example.com这样的所有同级子域名。如果你有多个完全不同的域名，比如a.com和b.com，那就得买多域名证书，或者分开买两张。

还有个容易被忽略的情况：如果你的服务是通过公网IP直接访问的（比如一些内部系统、物联网设备），普通证书不支持绑定IP。只有GlobalSign、DigiCert、GeoTrust这几个品牌的OV单域名证书可以。这个坑我那个朋友就踩得结结实实。

第三个变化是今年必须注意的：证书有效期变短了。

从2026年3月起，所有新签发的公开信任SSL证书，最长有效期被压缩到了200天。以前那种买一张管一年的日子过去了。现在你花一年期的钱，拿到的是“订阅服务”——第一张有效期199天，到期前需要手动“续期”领取第二张，才能凑满365天。如果你忘了在30天窗口期内操作，后半段就作废了，得重新买。

这对运维习惯是个考验。以前一年操心一次的事，现在半年就得折腾一回。有些服务商提供自动化续期提醒甚至自动部署，选购的时候可以把这个因素考虑进去。

第四个问题是算法和兼容性。

目前主流是RSA和ECC两种算法。RSA兼容性最好，老设备、老浏览器都能认，2048位是底线，4096位更安全。ECC算法更先进，同样安全级别下密钥更短、加解密速度更快、资源消耗更低，对移动端、物联网设备更友好。如果你用户群体主要是国内、设备环境比较新，ECC体验更好；如果面向全球，还有大量老旧设备访问，RSA更稳妥。

还有个方向是国密SM2算法，政务、金融这些有合规要求的场景会涉及，普通网站暂时不用纠结。

第五个容易被忽略的是服务商的选择。

SSL证书不是一手交钱一手交货就完事的事。配置的时候遇到报错怎么办？证书过期忘了续怎么办？多域名证书怎么合并申请？有没有技术支持、响应快不快，直接影响到后面用着省不省心。大品牌比如DigiCert、GlobalSign、CFCA，根证书被所有浏览器和操作系统信任，不会出现“不受信”的尴尬。有些小服务商虽然便宜，但根证书没铺开，或者技术支持跟不上，省的那点钱最后都变成折腾的时间。

最后说说免费证书。

免费SSL证书固然省钱但别往生产环境放，更别往涉及交易、隐私的站点放。除了前面说的身份验证漏洞，免费证书还经常因为续期麻烦导致过期没人管，网站突然就打不开了。省那几百块钱，换来用户投诉和信任流失，划不来。

总结一下，买SSL证书之前问自己几个问题：我是个人还是企业？只加密数据还是要展示身份？有几个域名要保护？用户都用什么设备访问？有没有人帮我运维？答案清楚了，再去看品牌、选类型、比价格，心里才有底。