所有 SSL 文章 SSL 與憑證

什麼是 Let's Encrypt?

2026-05-07
lets-encryptacmecertificate-authorityfree-ssl

Let’s Encrypt 是一個免費、自動化的非營利憑證授權機構(CA),免費簽發 SSL/TLS 證書。它是世界上最大的 CA,擁有 63.9% 的市場份額,自 2016 年推出以來已簽發超過 10 億張證書。

Let’s Encrypt 由網際網路安全研究組(ISRG)運營,獲得 Mozilla、Google、EFF、Facebook 等的支援。

Let’s Encrypt 如何工作

Let’s Encrypt 使用 ACME 協議(Automated Certificate Management Environment,RFC 8555)自動化證書籤發:

  1. 證明域名所有權 —— 完成驗證(HTTP-01 或 DNS-01)證明你控制該域名
  2. 提交 CSR —— 你的 ACME 用戶端傳送包含公鑰的證書籤名請求
  3. 接收證書 —— Let’s Encrypt 簽名並返回證書鏈
  4. 安裝和續簽 —— 部署證書;每 90 天續簽

整個過程自動化——無需郵件、無需文書、無需付款。GetHTTPS、Certbot 和 acme.sh 等 ACME 用戶端為你處理協議。

為什麼免費

Let’s Encrypt 的使命是讓 HTTPS 普及。收入模式:

  • 大型科技公司贊助(Google、Mozilla、Meta、Cisco、EFF 等)
  • 運營成本適中——幾乎所有事務都自動化
  • 無個人使用者支援人員 —— 僅社群論壇
  • 只簽發 DV 證書 —— 無複雜身份驗證流程

這不是”免費增值”。沒有付費套餐、無追加銷售、無旨在推你到付費計劃的限制。它免費是因為加密應該是基準,而非奢侈品。

速率限制

Let’s Encrypt 有速率限制以防止濫用,但對任何合法使用都足夠寬鬆:

限制數值備註
每註冊域名證書數每週 50 張覆蓋 example.com 及所有子域名
重複證書每週 5 張完全相同的域名集合
失敗驗證每小時 5 次每賬戶、每主機名
新註冊每 IP 每 3 小時 10 個ACME 賬戶建立
待處理授權每賬戶 300 個併發未完成的驗證

測試時使用 Let’s Encrypt 的暫存環境——它有更高的限制且簽發測試證書(非瀏覽器信任的)。

Let’s Encrypt 不提供什麼

  • OV/EV 證書 —— 僅域名驗證(DV)
  • 專屬支援 —— 僅社群論壇
  • 保證金 —— 無錯誤簽發的財務保證
  • 證書管理面板 —— 這是 ACME 用戶端的工作
  • 超過 90 天的證書 —— 設計使然(短有效期在金鑰洩露時限制暴露)

對大多數網站,這些都不需要。DV 證書提供與 OV/EV 相同的加密。檢視 Let’s Encrypt 與付費 SSL 對比

如何使用 Let’s Encrypt

你不直接與 Let’s Encrypt 互動——你使用 ACME 用戶端

用戶端工作方式適合
GetHTTPS基於瀏覽器,無需安裝,金鑰留在本地無伺服器訪問許可權時快速獲取證書
CertbotCLI 工具,自動續簽,伺服器整合有 root 許可權的生產伺服器
acme.shShell 指令碼,無需 root輕量 CLI 替代方案
Caddy內建 ACME,自動 HTTPSCaddy Web 伺服器使用者

完整免費 SSL 工具對比 →

常見問題

Let’s Encrypt 安全嗎?

安全。Let’s Encrypt 證書使用與付費證書相同的密碼學標準。它們被所有主流瀏覽器和作業系統信任。超過 3 億活躍證書保護著網路的重要部分。

為什麼是 90 天證書?

短有效期限制了私鑰洩露時的損害——攻擊者只能使用被竊金鑰到證書過期。它還鼓勵自動化,比手動續簽更可靠。注意:CA/Browser Forum 正在將所有 CA 推向 2029 年的 47 天有效期。

Let’s Encrypt 能用於商業網站嗎?

可以。商業使用無限制。Let’s Encrypt 證書被大型企業、SaaS 產品和電商網站使用。許可證對使用方式沒有限制。

如果 Let’s Encrypt 宕機怎麼辦?

現有證書繼續工作直到過期——它們不會回連驗證。你只是在停機期間無法簽發或續簽。Let’s Encrypt 有良好的正常執行時間記錄,由資金充足的贊助商支援。如果你擔心,在過期前充分提前續簽證書(90 天中的第 60 天)。

Let’s Encrypt 支援萬用字元證書嗎?

支援。萬用字元證書(*.example.com)透過 DNS-01 驗證支援。你需要向域名的 DNS 新增 TXT 記錄以證明所有權。

Let’s Encrypt 資料

指標數值
活躍證書3 億+
全球 CA 市場份額63.9%
總簽發證書數10 億+
證書型別僅 DV
有效期90 天
費用免費
贊助商Google、Mozilla、Meta、Cisco、EFF、Akamai 等
成立2013(ISRG),2016 公開發布
協議ACME(RFC 8555)
根 CAISRG Root X1

為什麼有人不信任 Let’s Encrypt(以及為什麼他們錯了)

“免費 = 不安全” —— 加密強度由 TLS 規範定義,不是 CA。所有 CA 使用相同演算法。免費 vs 付費對比 →

“無保證金 = 有風險” —— CA 保證金覆蓋 CA 錯誤簽發的損失,不是你的站點被黑。沒有重大保證金賠付案例被公開記錄過。

“90 天證書 = 不可靠” —— 短有效期是安全特性,不是限制。自動續簽(Certbot)使其透明。

“釣魚網站使用 Let’s Encrypt” —— 對的,但釣魚網站也使用付費證書。DV 證書驗證域名控制,不是站點合法性。這是設計使然——無論站點意圖如何,加密保護傳輸中的資料。

相關文章

快速開始 2026-05-08
如何獲取免費 SSL 證書(分步指南)
5 分鐘從 Let's Encrypt 獲取免費 SSL 證書 — 無需安裝軟體、無需註冊賬號。涵蓋 4 種方法、兩種驗證方式、6 個平臺的安裝教程和故障排除。
比較 2026-05-08
2026 年最佳免費 SSL 憑證提供商比較
從隱私、限額、萬用字元支援和自動化等維度比較 9 家免費 SSL 憑證提供商。涵蓋獨立憑證授權機構、主機商和 CDN,並附上其他比較文章未涉及的隱私分析。
SSL 與憑證 2026-05-08
什麼是 HTTPS?完整指南
HTTPS 加密瀏覽器與網站之間的連線。瞭解 HTTPS 的工作原理、TLS 握手、HTTP 與 HTTPS 的區別、效能影響,以及如何免費啟用。
在瀏覽器中取得免費 SSL 憑證
無需安裝,無需帳號。私鑰始終留在你的裝置上。
取得憑證