免费SSL和付费SSL的常见问题汇总

　　关于SSL证书，免费还是付费的讨论从来没有停止过。客户做网站安全咨询的时候，几乎每周都会被问到同样的问题：免费的够用吗?付费的到底好在哪?哪些情况必须用付费的?今天就把这些常见问题集中整理一下，用问答的形式说得清楚明白一些，希望能帮你少走点弯路。

　　问题一：免费的SSL证书和付费的SSL证书，在加密强度上有区别吗?

　　这是最基础也最容易说清楚的问题。从技术层面看，免费证书(比如Let‘s Encrypt、ZeroSSL、Buypass)和付费证书(比如DigiCert、Sectigo、GlobalSign、Certum等品牌颁发的OV/EV证书)在加密强度上完全没有区别。它们都采用标准的TLS协议，支持相同的加密算法套件，比如RSA 2048/4096位、ECC 256位等。浏览器建立的HTTPS连接安全等级是一样的，中间人无法因为你是免费证书就更容易破解。

　　所以如果有人告诉你“付费证书加密更安全”，那是不准确的。免费证书同样能提供银行级别的传输加密，防窃听、防篡改的核心功能两者一致。真正的差异不在加密本身，而在加密之外的那些东西——身份验证深度、售后支持、保险赔付、兼容性、管理便利性等等。

　　问题二：所有免费证书有效期都是90天吗?未来还会更短吗?

　　目前主流的免费证书有效期确实是90天，比如Let’s Encrypt。但也有一些例外，比如Buypass提供180天的免费证书，ZeroSSL也有90天或更长时间的付费选项。不过总体趋势是：证书的有效期正在不断缩短。

　　根据CA/Browser Forum的行业投票决议，公共信任的SSL/TLS证书最大有效期已经在2026年调整为200天，2027年将降至100天，2029年进一步降至47天。Let‘s Encrypt已经公布了明确的缩短计划：2027年2月10日缩短至64天，2028年2月16日缩短至45天。这意味着未来免费的DV证书维护频率会越来越高——每年可能需要换8次甚至更多次证书。如果你没有全自动化的续期方案，手动管理将非常痛苦。

　　问题三：个人博客用免费证书够用吗?有没有风险?

　　对于个人博客、技术学习站点、非商业性的个人项目来说，免费SSL证书是完全够用的。这类网站不涉及用户登录、在线支付、个人信息收集等敏感操作，主要目的是让浏览器地址栏不再显示“不安全”的红字警告，给访客一个基本的加密体验。Let‘s Encrypt配合certbot或者acme.sh自动化工具，部署和续期都算省心，成本为零。

　　风险在于两点：一是如果自动续期脚本出问题，证书过期了你没有及时发现，网站会突然弹出安全警告，影响访问体验;二是免费证书无法验证身份，访客无法确认这个网站背后是谁，但对于个人博客来说这通常不是问题。所以总的来说，个人场景用免费证书是完全可以的。

　　问题四：企业官网能用免费证书吗?有什么隐患?

　　企业官网如果用免费证书，技术上也能加密，但隐患主要在“信任感”和“专业性”两个方面。当用户访问一个企业网站，点击地址栏的小锁，免费证书只显示“域名已验证”，看不到任何公司信息。而付费的OV证书会显示企业名称，用户能确认这个网站背后确实是一个合法注册的公司。对于需要建立客户信任的企业来说，这种身份的可见性非常关键。

　　另外，有些合作伙伴、广告平台、支付接口会对网站的安全等级做评估。如果你用免费证书，某些严格的平台可能会认为你的网站安全级别不足，拒绝合作或要求补充材料。如果你的企业还面临等保测评、ISO认证等合规要求，免费DV证书通常不被认可，必须升级到OV级别及以上。所以企业官网，哪怕只是展示型的，也建议至少用OV证书，年费几百到一千出头，换来的是品牌形象和专业信任度。

　　问题五：为什么付费证书有几百块、几千块甚至上万的?区别在哪?

　　付费证书的定价差异主要来自三个方面：验证级别、证书类型、品牌溢价。

　　验证级别方面，DV(域名验证)证书最便宜，年费几十到几百元;OV(组织验证)证书中等，年费几百到两千元左右;EV(扩展验证)证书最贵，年费两三千至上万元。验证越严格，审核流程越复杂，成本越高。

　　证书类型方面，单域名证书最便宜，只保护一个域名;通配符证书可以保护一个域名及其所有子域名，比如*.example.com，价格通常是单域名证书的3到5倍;多域名证书一张能保护多个不同域名，按域名数量计费，适合有多个品牌站点的企业。

　　品牌溢价方面，DigiCert这类顶级品牌价格最高，但根证书兼容性最好、保险额度最大、业界认可度最高。中小品牌的OV证书价格相对亲民，功能上也能满足绝大多数企业的需求。

　　问题六：免费SSL证书支持通配符和多域名吗?

　　Let‘s Encrypt从2018年开始支持免费的泛域名证书(通配符证书)，这是好消息。但它有一个门槛：免费的通配符证书只能用DNS验证方式，需要你能够操作域名的DNS记录。而且免费的通配符证书有效期仍然是90天，自动化续期的复杂度比单域名证书更高一些。对于个人或者极客来说，可以折腾;对于企业用户，如果你既想用通配符又不想操心频繁续期，建议还是考虑付费的一年期泛域名证书，省心很多。

　　多域名免费证书，Let’s Encrypt也支持，可以一张证书绑定多个不同域名，但上限通常是100个域名。不过要注意，免费多域名证书的每个域名都需要验证所有权，而且续期时所有域名都要重新验证一遍，管理成本随域名数量线性增长。如果你有两个以上的域名，付费的多域名或通配符方案往往更划算也更省力。

　　问题七：免费SSL证书的安全保险和售后支持是怎么回事?

　　免费证书没有保险，也没有人工售后。签发机构不承担证书本身问题导致的任何损失，出了问题你只能靠自己或者去社区求助。比如证书安装失败、兼容性报错、续期脚本异常这些情况，没有客服电话可打，没有工单可以提交。

　　付费证书通常附带数据安全保险，保额从几万美元到上百万美元不等。例如DigiCert的EV证书保险额度高达175万美元，Sectigo的OV证书也有数十万美元的赔付保障。而且付费证书提供7×24小时的技术支持，遇到问题可以直接联系CA机构的专家协助解决。对于金融、电商等损失风险高的行业来说，这种兜底保障是免费证书完全不具备的。

　　问题八：免费SSL证书在老设备或特殊环境下会报错吗?

　　确实存在这种可能。Let‘s Encrypt的根证书虽然没有过期，但部分老旧操作系统的根证书库没有及时更新，导致对Let’s Encrypt签发的证书不信任。典型表现是：在Windows Server 2003、Android 4.4以下、iOS 9以下等旧系统上访问，浏览器会弹出“证书不受信任”或“NET::ERR_CERT_AUTHORITY_INVALID”这类错误。

　　付费证书使用的根证书通常是老牌CA厂商的，它们已经被预置在几乎所有操作系统的信任列表里长达十几年。兼容性是付费证书的一大优势——你在任何设备上访问都很少会遇到证书不受信任的情况。如果你的用户群体中包含大量政企单位的老旧电脑、工业控制终端或嵌入式设备，这一点非常重要。

　　问题九：免费SSL会不会影响网站的SEO?

　　不会。搜索引擎的排名机制不区分证书是免费还是付费，只要启用了HTTPS，搜索引擎都会给予同样的权重加分。Google和百度都明确过这一点。

　　但有一个前提：你的HTTPS必须始终可用。如果免费证书因为忘记续期而过期，导致网站突然降级为HTTP或显示安全警告，搜索引擎是会降权的。所以“免费不影响SEO”这句话正确的前提取决于你能确保证书不中断。如果你没有可靠的自动续期机制，那么一次过期就可能让之前的SEO努力白费。

　　问题十：综合来看，我到底应该选免费还是付费?

　　让我用最直白的话给你一个决策参考：

　　如果你的网站是个人博客、学习实验项目、不涉及交易和敏感信息的测试站点，预算又非常有限，选免费证书，配合自动化脚本，完全够用。

　　如果你的网站是企业官网(哪怕是展示型)、电商网站、SaaS平台、会员系统、支付接口，或者任何需要用户信任和合规的场景，建议至少选择付费OV单域名或通配符证书。年费几百到一千多，换来的是身份可见性、兼容性保障和技术支持，性价比很高。

　　如果你是金融、银行、支付机构、大型电商平台、品牌方旗舰店，或者网站涉及高价值交易，建议上EV证书，并且选择顶级CA品牌。虽然价格稍贵，但它是目前最高等级的身份验证，保险额度最高，用户信任度最强。

　　一句话总结：免费证书解决的是“能不能加密”的问题，付费证书解决的是“够不够可信”的问题。看你自己的业务和用户对信任的要求有多高。