|
| 1 | +--- |
| 2 | +title: Let's Encrypt |
| 3 | +createTime: 2025/11/05 21:39:31 |
| 4 | +permalink: /blog/lj9md9d1/ |
| 5 | +--- |
| 6 | + |
| 7 | +https://letsencrypt.org/zh-cn/how-it-works/ |
| 8 | + |
| 9 | +## 证书对比 |
| 10 | + |
| 11 | +| 维度 | Let's Encrypt (公共可信CA) | 本地/私有CA证书 | 自签名证书 | 商业证书 | |
| 12 | +| :--- | :--- | :--- | :--- | :--- | |
| 13 | +| **颁发者** | 公共可信的证书颁发机构 (Let's Encrypt) | 自行创建私有CA证书 | 通过私有CA证书签发 | 公共可信的商业CA | |
| 14 | +| **浏览器信任** | ✅ **完全信任**,无安全警告 | ❌ **默认不被信任**,需手动导入根证书 | ❌ **不被信任**,会显示安全警告 | ✅ **完全信任**,无安全警告 | |
| 15 | +| **成本** | 免费 | 免费 | 免费 | 每年几十到数千美元不等 | |
| 16 | +| **获取方式** | 自动化ACME客户端 (如 certbot、acme.sh) | 自行搭建CA体系并签发 | 用OpenSSL等工具自行生成 | 向商业CA购买,验证后签发 | |
| 17 | +| **验证等级** | 域名验证 (DV) | 自定义 | - | DV、组织验证(OV)、扩展验证(EV) | |
| 18 | +| **功能特性** | 基础DV证书,支持通配符 | 完全自定义 | 仅加密,无身份信任 | OV/EV证书显示公司名,提供更高保障和保险 | |
| 19 | +| **主要用途** | 个人网站、博客、API接口、任何需要HTTPS的公开服务 | 大型企业内网、政府机构、物联网设备集群 | 内部开发、测试环境、局域网服务 | 企业官网、电子商务、金融平台等需要高信任度的场景 | |
| 20 | +| **优缺点** | **优**: 免费、自动化<br>**缺**: 仅DV,90天有效期 | **优**: 内部管理灵活,免费<br>**缺**: 部署维护复杂,仅限内部 | **优**: 完全控制、即刻获取<br>**缺**: 无浏览器信任,需手动管理 | **优**: 高信任度、技术支持、保险保障<br>**缺**: 成本高,申请流程可能较复杂 | |
| 21 | + |
| 22 | +## 💡 如何选择适合你的证书? |
| 23 | + |
| 24 | +您可以根据以下场景来判断哪种证书最适合您: |
| 25 | + |
| 26 | +1. **面向公众的网站或服务 (例如:个人博客、公司官网、电商平台)** |
| 27 | + * **首选:Let's Encrypt** |
| 28 | + * **理由**:它是免费的,并且被所有主流浏览器信任。自动化续期解决了证书过期的最大痛点。对于绝大多数网站来说,它已经完全足够。 |
| 29 | + * **考虑:商业OV/EV证书** |
| 30 | + * **理由**:如果你的用户是高安全敏感群体(如银行、金融平台),或者你需要在地址栏显示公司名称(EV证书)以增强用户信任,那么投资商业证书是值得的。 |
| 31 | + |
| 32 | +2. **开发、测试或内部环境 (例如:localhost, `app.internal`, 路由器管理界面)** |
| 33 | + * **选择1:自签名证书** |
| 34 | + * **理由**:**快速简单**。当你只需要在开发机器或少数几台设备上测试HTTPS功能时,用OpenSSL几分钟就能搞定。缺点是每次访问都需要忽略浏览器的安全警告。 |
| 35 | + * **选择2:本地/私有CA** |
| 36 | + * **理由**:**一劳永逸**。如果你有多个内部服务(例如 `wiki.internal`, `jenkins.internal`),为每个服务创建自签名证书会很麻烦。搭建一个私有CA,只需将CA根证书导入到你的电脑/设备中,所有由该CA签发的证书都会被信任,体验和公网证书一样。 |
| 37 | + |
| 38 | +3. **企业内网或物联网设备** |
| 39 | + * **首选:本地/私有CA** |
| 40 | + * **理由**:你可以完全控制证书的颁发、吊销和生命周期,不依赖外部CA。这对于大规模设备管理和安全策略统一至关重要。 |
| 41 | + |
| 42 | +## 🛠️ 核心概念解读 |
| 43 | + |
| 44 | +* **浏览器信任链**:你的浏览器预装了一组“根证书颁发机构”的列表。只有当证书的签发链最终能追溯到这些受信任的根时,浏览器才会显示“安全”。 |
| 45 | + * **Let's Encrypt** 和 **商业CA** 的根证书都在这个列表里。 |
| 46 | + * **自签名证书** 不在这个链条上,所以不被信任。 |
| 47 | + * **本地CA证书** 需要你手动将其根证书加入到“受信任的根证书颁发机构”存储区,之后它签发的证书就会被信任。 |
| 48 | + |
| 49 | +* **验证等级**: |
| 50 | + * **DV (域名验证)**:只证明你拥有该域名。Let's Encrypt 提供的就是DV证书。 |
| 51 | + * **OV (组织验证)**:除了域名控制权,还验证申请单位的真实存在性。 |
| 52 | + * **EV (扩展验证)**:最严格的审核,会在浏览器地址栏显示公司名称。 |
0 commit comments