大多數網站需要一張來自 Let’s Encrypt 的免費 DV 證書。對於 90% 以上的讀者來說,這就是答案。但如果你想了解原因——以及例外情況——本指南將帶你逐一分析每個決策點。
決策 1:驗證級別(DV vs OV vs EV)
| 問題 | 如果是 → |
|---|---|
| 合規規定或採購政策是否明確要求 OV 或 EV? | 從商業 CA 獲取 OV 或 EV |
| 審計人員是否要求組織名稱嵌入證書中? | 獲取 OV |
| 都不是? | DV 就夠了 —— 從 Let’s Encrypt 免費獲取 |
簡而言之: DV 提供與 OV 和 EV 相同的加密。瀏覽器對三者都顯示相同的鎖頭圖示。綠色位址列自 2019 年起已消失。 除非你有特定的合規要求,否則 DV 就是正確選擇。
決策 2:域名覆蓋範圍
| 你的場景 | 證書型別 | 獲取方式 |
|---|---|---|
單個域名(example.com) | 單域名 | GetHTTPS —— 輸入 example.com |
域名 + www(example.com + www.example.com) | 帶 SAN 的單域名 | GetHTTPS —— 輸入兩個名稱 |
多個子域名(www、blog、api、staging 等) | 萬用字元(*.example.com) | GetHTTPS 萬用字元指南 |
多個不同域名(example.com + example.org) | 多域名(SAN) | GetHTTPS —— 輸入所有域名 |
| 子域名 + 裸域名 | 萬用字元 + 裸域名 | GetHTTPS —— 輸入 *.example.com + example.com |
| 不同域名 + 它們的子域名 | 多萬用字元或 SAN + 萬用字元 | GetHTTPS —— 按需組合 |
經驗法則:
- 1-2 個域名 → 單域名證書
- 一個域名的多個子域名 → 萬用字元證書
- 多個不同的基礎域名 → 多域名 SAN
- 以上混合 → 一張證書中組合萬用字元 + SAN
決策 3:免費 vs 付費
| 問題 | 如果是 → |
|---|---|
| 你需要 OV 或 EV 驗證? | 付費(商業 CA) |
| 你需要合規所需的保證金? | 付費 |
| 你需要 CA 的專屬支援? | 付費 |
| 以上都不是? | 免費(Let’s Encrypt) |
免費的 Let’s Encrypt 證書提供與付費證書完全相同的加密。加密演算法、密碼套件和 TLS 協議是一樣的。你付費買的是驗證級別和服務——不是安全性。
決策 4:使用哪個工具獲取
| 你的情況 | 工具 | 原因 |
|---|---|---|
| 無伺服器訪問許可權 / 快速獲取 | GetHTTPS | 基於瀏覽器,零安裝 |
| 有 root 許可權的伺服器,需要自動續簽 | Certbot | 自動續簽 |
| 主機包含免費 SSL | 你的主機面板 | 已內建 |
| 已在 Cloudflare 上 | Cloudflare + 源證書 | 內建 CDN SSL |
| AWS 使用 ALB/CloudFront | ACM | 免費,自動續簽 |
決策 5:金鑰演算法
| 場景 | 演算法 |
|---|---|
| 現代部署(預設) | ECDSA P-256 —— 更小、更快 |
| 需要支援非常舊的裝置 | RSA 2048 —— 最大相容性 |
| 高安全性要求 | ECDSA P-384 或 RSA 4096 |
GetHTTPS 預設使用 ECDSA P-256,所有現代瀏覽器都支援且為 Let’s Encrypt 推薦。
常見場景
”我在搭建個人部落格”
獲取: 從 GetHTTPS 獲取免費 DV 單域名證書,覆蓋 yourblog.com + www.yourblog.com。安裝在 Nginx 或透過 cPanel。總費用:$0。
“我運營一個有 API 的 SaaS 產品”
獲取: 從 GetHTTPS 獲取免費 DV 萬用字元證書,覆蓋 *.yourapp.com。自動覆蓋 app.yourapp.com、api.yourapp.com、docs.yourapp.com。設定 Certbot 自動續簽。
“我正在上線電商網站”
獲取: 從 Let’s Encrypt 獲取免費 DV。PCI DSS 不要求 OV/EV。Stripe/PayPal 負責支付卡安全。如有子域名,使用萬用字元。
“公司採購要求 OV”
獲取: 從 DigiCert、Sectigo 或 GlobalSign 獲取 OV 證書($50-200/年)。這是採購的合規檢查項——加密與免費 DV 證書完全相同。
“我為客戶管理 50 個域名”
獲取: 為每個域名獲取 Let’s Encrypt 免費 DV 證書。使用 acme.sh 配合 DNS API 自動化,或用 GetHTTPS 快速處理單個證書。
常見問題
每個子域名都需要單獨的證書嗎?
如果使用萬用字元證書(*.example.com)就不需要。一張萬用字元覆蓋一級的所有子域名。不使用萬用字元的話,是的——每個唯一的主機名都需要列在證書的 SAN 欄位中。
能先用免費的,以後再升級為付費嗎?
可以。現在獲取免費證書,如果以後合規需要 OV/EV,購買付費證書並替換檔案即可。無需遷移,無停機時間。詳情 →
Google 在意我使用哪種證書嗎?
不在意。Google 的 HTTPS 排名訊號不區分 DV、OV、EV、免費或付費證書。任何有效的 HTTPS 證書都提供相同的 SEO 收益。詳情 →
如果我不確定,只想要一個能用的?
前往 GetHTTPS,輸入你的域名,按步驟操作。5 分鐘內你就會擁有一張免費、受信任、正確配置的 SSL 證書。你隨時可以更換證書型別。