如果你正在搜索有效期 1 年的免费 SSL 证书——在 2026 年它不存在。 但这其实没关系,因为行业正在彻底远离长期证书。以下是当前情况和替代方案。
当前证书最长有效期
| 类型 | 最长有效期(2026 年) | 免费? |
|---|---|---|
| Let’s Encrypt | 90 天 | ✅ 无限量 |
| Buypass Go | 180 天 | ✅ 无限量 |
| ZeroSSL(免费套餐) | 90 天 | 3 张证书 |
| 付费 DV(任何 CA) | 200 天* | ❌ $50-268/年 |
| 付费 OV/EV | 200 天* | ❌ $88-500/年 |
*自 2026 年 3 月起,CA/Browser Forum 将最长有效期从 398 天缩短至 200 天。还会进一步缩短:
| 日期 | 最长有效期 |
|---|---|
| 2026 年 3 月之前 | 398 天(约 13 个月) |
| 2026 年 3 月 | 200 天 |
| 2027 年 3 月 | 100 天 |
| 2029 年 3 月 | 47 天 |
到 2029 年,没有任何证书——无论免费或付费——有效期会超过 47 天。 详情 →
为什么 90 天证书实际上更好
Let’s Encrypt 特意选择了 90 天有效期:
- 限制密钥泄露的损害 —— 如果有人窃取了你的私钥,只能使用到证书过期
- 鼓励自动化 —— 每年手动续签助长懈怠;90 天迫使你采用良好实践
- 减少对吊销机制的依赖 —— 吊销不可靠;短期证书在吊销生效前就会过期
- 已在规模化验证 —— 3 亿+证书,63.9% 市场份额。90 天有效期行之有效。
替代方案
选项 1:免费 90 天证书(推荐)
从 GetHTTPS 获取免费证书。每 60-80 天续签一次。
手动续签(GetHTTPS): 每次续签 5 分钟,每年 5-6 次。 自动续签(Certbot): 设置后零维护。指南 →
选项 2:免费 180 天证书
Buypass Go 提供 180 天证书(Let’s Encrypt 的两倍有效期)。使用 Certbot 或 acme.sh 配合 Buypass 的 ACME 端点。不支持通配符证书。
选项 3:付费 200 天证书
如果你坚持要最长有效期,Sectigo 或 DigiCert 的付费 DV 证书有效期为 200 天。费用:$50-268/年,加密与 Let’s Encrypt 免费提供的完全相同。付费值得吗? →
算笔账:90 天续签真的更麻烦吗?
| 1 年证书(以前) | 90 天证书 | 47 天证书(2029 年) | |
|---|---|---|---|
| 每年续签次数 | 1 | 5-6 | ~8 |
| 手动工作量 | 30 分钟/年 | 25-30 分钟/年 | 40+ 分钟/年 |
| 自动化工作量 | 仍需设置 | 零(Certbot) | 零(Certbot) |
| 费用(Let’s Encrypt) | — | $0 | $0 |
| 费用(付费 DV) | $50-268 | — | $400-2,144* |
*预估:8 次续签 × $50-268/张证书。短有效期使付费证书变得极其昂贵。
总结: 使用自动续签(Certbot),证书有效期无关紧要——完全透明。使用手动续签(GetHTTPS),每年 5-6 次也完全可控。
常见问题
免费 1 年证书会回来吗?
不会。CA/Browser Forum 正在缩短所有 CA 的有效期——无论免费还是付费。趋势是更短而非更长的证书。到 2029 年,47 天是所有人的上限。
我看到有网站提供”免费 SSL 一年”——这靠谱吗?
要谨慎。一些旧页面宣传这个但自 2026 年 3 月有效期变更后未更新。还有些以”1 年”泛指”通过主机商自动续签的免费 90 天证书”(这是合理的——证书自动续签,实际上无限期覆盖你)。
Buypass Go 的 180 天证书比 Let’s Encrypt 的 90 天更好吗?
更长的有效期 = 更少的续签次数,对手动工作流稍微方便些。但 Buypass 不支持通配符证书且社区更小。对大多数用户来说,Let’s Encrypt 的生态系统(GetHTTPS、Certbot、acme.sh)使其成为更好的选择,尽管有效期更短。
我的主机商说”永久免费 SSL”
这意味着他们代你自动续签 Let’s Encrypt(或其 CA 的)证书。单张证书有效期为 90 天,但续签是自动的。“永久”意味着”我们持续为你续签”——而非”一张永不过期的证书”。