大多数网站需要一张来自 Let’s Encrypt 的免费 DV 证书。对于 90% 以上的读者来说,这就是答案。但如果你想了解原因——以及例外情况——本指南将带你逐一分析每个决策点。
决策 1:验证级别(DV vs OV vs EV)
| 问题 | 如果是 → |
|---|---|
| 合规规定或采购政策是否明确要求 OV 或 EV? | 从商业 CA 获取 OV 或 EV |
| 审计人员是否要求组织名称嵌入证书中? | 获取 OV |
| 都不是? | DV 就够了 —— 从 Let’s Encrypt 免费获取 |
简而言之: DV 提供与 OV 和 EV 相同的加密。浏览器对三者都显示相同的锁头图标。绿色地址栏自 2019 年起已消失。 除非你有特定的合规要求,否则 DV 就是正确选择。
决策 2:域名覆盖范围
| 你的场景 | 证书类型 | 获取方式 |
|---|---|---|
单个域名(example.com) | 单域名 | GetHTTPS —— 输入 example.com |
域名 + www(example.com + www.example.com) | 带 SAN 的单域名 | GetHTTPS —— 输入两个名称 |
多个子域名(www、blog、api、staging 等) | 通配符(*.example.com) | GetHTTPS 通配符指南 |
多个不同域名(example.com + example.org) | 多域名(SAN) | GetHTTPS —— 输入所有域名 |
| 子域名 + 裸域名 | 通配符 + 裸域名 | GetHTTPS —— 输入 *.example.com + example.com |
| 不同域名 + 它们的子域名 | 多通配符或 SAN + 通配符 | GetHTTPS —— 按需组合 |
经验法则:
- 1-2 个域名 → 单域名证书
- 一个域名的多个子域名 → 通配符证书
- 多个不同的基础域名 → 多域名 SAN
- 以上混合 → 一张证书中组合通配符 + SAN
决策 3:免费 vs 付费
| 问题 | 如果是 → |
|---|---|
| 你需要 OV 或 EV 验证? | 付费(商业 CA) |
| 你需要合规所需的保证金? | 付费 |
| 你需要 CA 的专属支持? | 付费 |
| 以上都不是? | 免费(Let’s Encrypt) |
免费的 Let’s Encrypt 证书提供与付费证书完全相同的加密。加密算法、密码套件和 TLS 协议是一样的。你付费买的是验证级别和服务——不是安全性。
决策 4:使用哪个工具获取
| 你的情况 | 工具 | 原因 |
|---|---|---|
| 无服务器访问权限 / 快速获取 | GetHTTPS | 基于浏览器,零安装 |
| 有 root 权限的服务器,需要自动续签 | Certbot | 自动续签 |
| 主机包含免费 SSL | 你的主机面板 | 已内置 |
| 已在 Cloudflare 上 | Cloudflare + 源证书 | 内置 CDN SSL |
| AWS 使用 ALB/CloudFront | ACM | 免费,自动续签 |
决策 5:密钥算法
| 场景 | 算法 |
|---|---|
| 现代部署(默认) | ECDSA P-256 —— 更小、更快 |
| 需要支持非常旧的设备 | RSA 2048 —— 最大兼容性 |
| 高安全性要求 | ECDSA P-384 或 RSA 4096 |
GetHTTPS 默认使用 ECDSA P-256,所有现代浏览器都支持且为 Let’s Encrypt 推荐。
常见场景
”我在搭建个人博客”
获取: 从 GetHTTPS 获取免费 DV 单域名证书,覆盖 yourblog.com + www.yourblog.com。安装在 Nginx 或通过 cPanel。总费用:$0。
“我运营一个有 API 的 SaaS 产品”
获取: 从 GetHTTPS 获取免费 DV 通配符证书,覆盖 *.yourapp.com。自动覆盖 app.yourapp.com、api.yourapp.com、docs.yourapp.com。设置 Certbot 自动续签。
“我正在上线电商网站”
获取: 从 Let’s Encrypt 获取免费 DV。PCI DSS 不要求 OV/EV。Stripe/PayPal 负责支付卡安全。如有子域名,使用通配符。
“公司采购要求 OV”
获取: 从 DigiCert、Sectigo 或 GlobalSign 获取 OV 证书($50-200/年)。这是采购的合规检查项——加密与免费 DV 证书完全相同。
“我为客户管理 50 个域名”
获取: 为每个域名获取 Let’s Encrypt 免费 DV 证书。使用 acme.sh 配合 DNS API 自动化,或用 GetHTTPS 快速处理单个证书。
常见问题
每个子域名都需要单独的证书吗?
如果使用通配符证书(*.example.com)就不需要。一张通配符覆盖一级的所有子域名。不使用通配符的话,是的——每个唯一的主机名都需要列在证书的 SAN 字段中。
能先用免费的,以后再升级为付费吗?
可以。现在获取免费证书,如果以后合规需要 OV/EV,购买付费证书并替换文件即可。无需迁移,无停机时间。详情 →
Google 在意我使用哪种证书吗?
不在意。Google 的 HTTPS 排名信号不区分 DV、OV、EV、免费或付费证书。任何有效的 HTTPS 证书都提供相同的 SEO 收益。详情 →
如果我不确定,只想要一个能用的?
前往 GetHTTPS,输入你的域名,按步骤操作。5 分钟内你就会拥有一张免费、受信任、正确配置的 SSL 证书。你随时可以更换证书类型。