Let’s Encrypt 憑證提供與每年 $100-$500 的付費憑證相同的加密強度。加密演算法、金鑰長度和 TLS 協定完全一致。你網站的訪客無法在安全性上分辨出差異。
那付費憑證為什麼還存在?你需要一張嗎?
簡短回答:大多數網站不需要。 本文其餘部分解釋實際差異 — 而非行銷話術。
快速比較
| 方面 | Let’s Encrypt(免費) | 付費 SSL(商業 CA) |
|---|---|---|
| 加密強度 | 相同(TLS 1.2/1.3, AES-256) | 相同 |
| 金鑰類型 | RSA 2048/4096, ECDSA P-256/P-384 | 相同 |
| 驗證等級 | 僅 DV | DV, OV, EV |
| 憑證有效期 | 90 天 | 1 年(正在縮短至 2029 年的 47 天) |
| 萬用字元 | ✅(免費) | ✅ |
| 多網域 (SAN) | ✅(最多 100 個名稱) | ✅ |
| 保固 | 無 | $10K – $1.75M |
| 技術支援 | 社群論壇 | 專屬支援 |
| 瀏覽器信任 | 所有主流瀏覽器 | 所有主流瀏覽器 |
| 綠色網址列 / 組織名 | 無(DV) | 無 — 已於 2019 年從瀏覽器移除 |
| 站台印章 | 無 | 有(行銷徽章) |
| 每網域每年成本 | $0 | $50 – $500+ |
加密是完全相同的
這是最重要的要點,也是商業憑證授權機構在行銷中模糊化的事實:加密是相同的。
Let’s Encrypt DV 憑證和 $500 的 DigiCert EV 憑證都:
- 使用相同的 TLS 1.2/1.3 協定
- 協商相同的加密套件(AES-256-GCM、ChaCha20-Poly1305)
- 使用相同的金鑰交換機制(ECDHE)
- 提供相同的前向保密
- 被所有瀏覽器和作業系統同等信任
沒有任何商業憑證授權機構使用「更好的加密」。標準由 TLS 規範定義,而非由憑證授權機構決定。花更多錢買的是驗證和服務 — 永遠不是更強的加密。
你實際在為什麼付費
1. 驗證等級(DV vs OV vs EV)
唯一實質性的技術差異:
| 等級 | CA 驗證什麼 | 耗時 | 瀏覽器顯示(2026 年) |
|---|---|---|---|
| DV | 你控制網域 | 幾分鐘(自動) | 鎖頭 |
| OV | 網域 + 組織存在 | 1-3 天 | 鎖頭(與 DV 相同) |
| EV | 網域 + 徹底的組織稽核 | 1-2 週 | 鎖頭(與 DV 相同) |
三者在每個主流瀏覽器中都顯示相同的鎖頭。沒有視覺差異。
2. 綠色網址列已經消失
商業憑證授權機構仍然將 EV 憑證行銷為顯示「帶有公司名稱的綠色網址列」。這已經過時了。
綠色網址列移除時間線:
- Chrome 69(2018 年 9 月):移除綠色「安全」標籤
- Chrome 77(2019 年 9 月):從網址列移除 EV 組織名稱
- Firefox 70(2019 年 10 月):移除 EV 指示器
- Safari(2020 年):移除 EV 區分
- Edge:跟隨 Chrome
在 2026 年,沒有任何主流瀏覽器顯示 DV、OV 和 EV 憑證之間的視覺差異。使用者仍然可以透過點擊鎖頭 → 憑證查看組織詳情,但幾乎沒人這麼做。
這消除了 EV 憑證的主要行銷論據。
3. 保固
付費憑證包含「保固」 — 通常 $10K 到 $1.75M。但請看細則:
- 它涵蓋的是憑證授權機構的錯誤簽發 — 如果 CA 向不控制網域的人簽發了憑證,且訪客因此遭受直接經濟損失
- 它不涵蓋你的網站被駭
- 它不涵蓋資料洩露
- 它不涵蓋釣魚攻擊
- 理賠需要證明 CA 在驗證過程中犯了錯誤
從未有重大保固賠付被公開記錄。 保固是行銷工具,不是有意義的安全保障。
4. 技術支援
Let’s Encrypt:社群論壇(letsencrypt.org/community)。沒有電話、信件或工單系統。
商業憑證授權機構:信件、電話和聊天支援,企業方案有 SLA。
何時重要: 有合規要求規定所有基礎架構元件必須有「廠商支援」的大型企業。如果你的採購清單上有「支援合約」項目,你需要付費憑證授權機構。
何時不重要: 對大多數能跟著教學操作和搜尋錯誤訊息的團隊來說。
5. 站台印章
一些付費憑證授權機構提供「信任印章」 — 可以在網站上展示的徽章。2010 年代初期的研究表明這些能提高轉換率。
2026 年的現實: 大多數使用者不認識 CA 的 logo。鎖頭圖示(所有憑證都有)是通用的信任指標。沒有對照研究表明 DigiCert 或 Sectigo 印章在現代站台上的效果優於僅有鎖頭。
何時 Let’s Encrypt 就夠了(90%+ 的網站)
Let’s Encrypt DV 憑證足以滿足:
- 個人網站和部落格 — DV 提供完整加密
- SaaS 應用 — Google、Facebook 和無數 SaaS 公司使用 DV 憑證
- API 和微服務 — 沒有面向使用者的信任顧慮
- 電商 — PCI DSS 要求加密,不要求 OV/EV。Stripe、PayPal 和支付處理器本身處理敏感的卡片資料。
- 新創公司和小企業 — 每個網域每年節省 $50-500
- 內部工具 — 無外部信任要求
- 測試/開發環境 — 沒有理由為測試環境付費
何時你確實需要付費 SSL
你應該考慮付費憑證,僅當以下條件之一適用:
1. 合規或採購要求 OV/EV
某些企業買家、政府機構或產業特定合規框架要求 OV 或 EV 憑證。這是採購清單上的勾選項 — 不是安全要求。在做假設之前請檢查實際法規。
2. 稽核要求憑證中包含組織身分
某些安全稽核或 SOC 2 控制項指定憑證必須包含組織身分。OV/EV 憑證在憑證中繼資料中嵌入你組織的法律名稱。(不過大多數稽核師在合理說明後接受 DV。)
3. 保險要求
在少數情況下,你的網路保險條款可能提到憑證保固。請與保險商確認。
47 天有效期的變革
CA/Browser Forum 已投票將最長憑證有效期在 2029 年前降至 47 天:
| 日期 | 最長有效期 |
|---|---|
| 2026 年 3 月之前 | 398 天(1 年) |
| 2026 年 3 月 | 200 天 |
| 2027 年 3 月 | 100 天 |
| 2029 年 3 月 | 47 天 |
這消除了付費憑證最後一個實際優勢:更長的有效期。到 2029 年,付費和免費憑證都需要每月續簽。「設定後就忘掉」的 1 年憑證價值主張正在消失。
成本分析
| 場景 | Let’s Encrypt | 付費(DigiCert DV) | 付費(Sectigo OV) | 節省金額 |
|---|---|---|---|---|
| 1 個網域,1 年 | $0 | $268 | $88 | $88-268 |
| 5 個網域,1 年 | $0 | $1,340 | $440 | $440-1,340 |
| 萬用字元,1 年 | $0 | $528 | $245 | $245-528 |
| 10 個網域,5 年 | $0 | $13,400 | $4,400 | $4,400-13,400 |
對於擁有 10 個網域的公司,5 年內:使用相同加密可節省 $4,400 到 $13,400。
結論
| 你的情況 | 建議 |
|---|---|
| 個人站台、部落格、作品集 | Let’s Encrypt — 沒有理由付費 |
| 新創公司、小企業 | Let’s Encrypt — 把 $200/年花在更有用的地方 |
| SaaS、API、電商 | Let’s Encrypt — DV 足夠,PCI DSS 同意 |
| 採購清單要求 OV/EV 的企業 | 付費 — 但僅因為清單要求 |
| 政策強制要求 OV/EV 的受監管產業 | 付費 — 先核實實際法規 |
| 其他所有人 | Let’s Encrypt |
立即取得你的免費憑證: GetHTTPS — 5 分鐘,無需安裝,私鑰留在瀏覽器中。
常見問題
使用免費 SSL 憑證會影響 Google 排名嗎?
不會。Google 已確認 SSL 憑證類型(DV、OV、EV)不影響搜尋排名。任何有效的 HTTPS 憑證提供相同的 SEO 訊號。
免費憑證對電商安全嗎?
安全。PCI DSS(支付卡產業標準)要求加密連線但不指定驗證等級。DV 憑證滿足 PCI 要求。你的支付處理器(Stripe、PayPal、Square)處理支付安全的最敏感部分 — 不是你的憑證。
客戶會更不信任免費 SSL 嗎?
客戶看到的是相同的鎖頭圖示,無論憑證類型。自 2019 年以來,沒有主流瀏覽器顯示 DV、OV 和 EV 之間的任何視覺差異。綠色網址列已經消失了。使用者信任的是鎖頭 — 不是 CA 的品牌。
如果 Let’s Encrypt 停運了怎麼辦?
Let’s Encrypt 由網際網路安全研究組(ISRG)營運,背後有 Mozilla、Google、EFF、Meta、Cisco 等支持。它是全球最大的 CA(63.9% 市占率)。雖然任何組織理論上都可能停運,但 ISRG 比許多商業憑證授權機構在財務上更穩定。
可以之後從 Let’s Encrypt 升級到付費嗎?
可以。購買付費憑證並替換伺服器上的檔案。無需遷移,如果在舊憑證到期前完成則無停機。伺服器不關心憑證是哪個 CA 簽發的。
為什麼商業憑證授權機構說免費憑證不安全?
因為他們銷售付費憑證。加密是完全相同的 — 這由 TLS 標準定義,不由 CA 決定。商業憑證授權機構無法提供「更好的加密」,因為規範不允許。他們在驗證等級、保固和支援上做差異化 — 這些都不影響加密強度。