所有 SSL 文章 SSL 与证书

什么是 Let's Encrypt?

2026-05-07
lets-encryptacmecertificate-authorityfree-ssl

Let’s Encrypt 是一个免费、自动化的非营利证书颁发机构(CA),免费签发 SSL/TLS 证书。它是世界上最大的 CA,拥有 63.9% 的市场份额,自 2016 年推出以来已签发超过 10 亿张证书。

Let’s Encrypt 由互联网安全研究组(ISRG)运营,获得 Mozilla、Google、EFF、Facebook 等的支持。

Let’s Encrypt 如何工作

Let’s Encrypt 使用 ACME 协议(Automated Certificate Management Environment,RFC 8555)自动化证书签发:

  1. 证明域名所有权 —— 完成验证(HTTP-01 或 DNS-01)证明你控制该域名
  2. 提交 CSR —— 你的 ACME 客户端发送包含公钥的证书签名请求
  3. 接收证书 —— Let’s Encrypt 签名并返回证书链
  4. 安装和续签 —— 部署证书;每 90 天续签

整个过程自动化——无需邮件、无需文书、无需付款。GetHTTPS、Certbot 和 acme.sh 等 ACME 客户端为你处理协议。

为什么免费

Let’s Encrypt 的使命是让 HTTPS 普及。收入模式:

  • 大型科技公司赞助(Google、Mozilla、Meta、Cisco、EFF 等)
  • 运营成本适中——几乎所有事务都自动化
  • 无个人用户支持人员 —— 仅社区论坛
  • 只签发 DV 证书 —— 无复杂身份验证流程

这不是”免费增值”。没有付费套餐、无追加销售、无旨在推你到付费计划的限制。它免费是因为加密应该是基准,而非奢侈品。

速率限制

Let’s Encrypt 有速率限制以防止滥用,但对任何合法使用都足够宽松:

限制数值备注
每注册域名证书数每周 50 张覆盖 example.com 及所有子域名
重复证书每周 5 张完全相同的域名集合
失败验证每小时 5 次每账户、每主机名
新注册每 IP 每 3 小时 10 个ACME 账户创建
待处理授权每账户 300 个并发未完成的验证

测试时使用 Let’s Encrypt 的暂存环境——它有更高的限制且签发测试证书(非浏览器信任的)。

Let’s Encrypt 不提供什么

  • OV/EV 证书 —— 仅域名验证(DV)
  • 专属支持 —— 仅社区论坛
  • 保证金 —— 无错误签发的财务保证
  • 证书管理面板 —— 这是 ACME 客户端的工作
  • 超过 90 天的证书 —— 设计使然(短有效期在密钥泄露时限制暴露)

对大多数网站,这些都不需要。DV 证书提供与 OV/EV 相同的加密。查看 Let’s Encrypt 与付费 SSL 对比

如何使用 Let’s Encrypt

你不直接与 Let’s Encrypt 交互——你使用 ACME 客户端

客户端工作方式适合
GetHTTPS基于浏览器,无需安装,密钥留在本地无服务器访问权限时快速获取证书
CertbotCLI 工具,自动续签,服务器集成有 root 权限的生产服务器
acme.shShell 脚本,无需 root轻量 CLI 替代方案
Caddy内置 ACME,自动 HTTPSCaddy Web 服务器用户

完整免费 SSL 工具对比 →

常见问题

Let’s Encrypt 安全吗?

安全。Let’s Encrypt 证书使用与付费证书相同的密码学标准。它们被所有主流浏览器和操作系统信任。超过 3 亿活跃证书保护着网络的重要部分。

为什么是 90 天证书?

短有效期限制了私钥泄露时的损害——攻击者只能使用被窃密钥到证书过期。它还鼓励自动化,比手动续签更可靠。注意:CA/Browser Forum 正在将所有 CA 推向 2029 年的 47 天有效期。

Let’s Encrypt 能用于商业网站吗?

可以。商业使用无限制。Let’s Encrypt 证书被大型企业、SaaS 产品和电商网站使用。许可证对使用方式没有限制。

如果 Let’s Encrypt 宕机怎么办?

现有证书继续工作直到过期——它们不会回连验证。你只是在停机期间无法签发或续签。Let’s Encrypt 有良好的正常运行时间记录,由资金充足的赞助商支持。如果你担心,在过期前充分提前续签证书(90 天中的第 60 天)。

Let’s Encrypt 支持通配符证书吗?

支持。通配符证书(*.example.com)通过 DNS-01 验证支持。你需要向域名的 DNS 添加 TXT 记录以证明所有权。

Let’s Encrypt 数据

指标数值
活跃证书3 亿+
全球 CA 市场份额63.9%
总签发证书数10 亿+
证书类型仅 DV
有效期90 天
费用免费
赞助商Google、Mozilla、Meta、Cisco、EFF、Akamai 等
成立2013(ISRG),2016 公开发布
协议ACME(RFC 8555)
根 CAISRG Root X1

为什么有人不信任 Let’s Encrypt(以及为什么他们错了)

“免费 = 不安全” —— 加密强度由 TLS 规范定义,不是 CA。所有 CA 使用相同算法。免费 vs 付费对比 →

“无保证金 = 有风险” —— CA 保证金覆盖 CA 错误签发的损失,不是你的站点被黑。没有重大保证金赔付案例被公开记录过。

“90 天证书 = 不可靠” —— 短有效期是安全特性,不是限制。自动续签(Certbot)使其透明。

“钓鱼网站使用 Let’s Encrypt” —— 对的,但钓鱼网站也使用付费证书。DV 证书验证域名控制,不是站点合法性。这是设计使然——无论站点意图如何,加密保护传输中的数据。

相关文章

快速开始 2026-05-08
如何获取免费 SSL 证书(分步指南)
5 分钟从 Let's Encrypt 获取免费 SSL 证书 — 无需安装软件、无需注册账号。涵盖 4 种方法、两种验证方式、6 个平台的安装教程和故障排除。
对比 2026-05-08
2026 年最佳免费 SSL 证书提供商对比
从隐私、限额、通配符支持和自动化等维度对比 9 家免费 SSL 证书提供商。涵盖独立证书颁发机构、主机商和 CDN,并附上其他对比文章未涉及的隐私分析。
SSL 与证书 2026-05-08
什么是 HTTPS?完整指南
HTTPS 加密浏览器与网站之间的连接。了解 HTTPS 的工作原理、TLS 握手、HTTP 与 HTTPS 的区别、性能影响,以及如何免费启用。
在浏览器中获取免费 SSL 证书
无需安装,无需账号。私钥始终留在你的设备上。
获取证书