1. 證書類型與驗證級別

• Let’s Encrypt 免費證書：
  僅提供域名驗證型（DV）證書，驗證流程僅確認申請人對域名的控制權(quán)（如 DNS 記錄、服務器文件驗證等），不驗證企業(yè)或組織的真實身份。瀏覽器中僅顯示安全鎖圖標，不顯示組織名稱。
• 收費證書：
  • DV 證書：與 Let’s Encrypt 的 DV 類似，但部分廠商可能提供更便捷的驗證流程或附加服務。
  • 企業(yè)驗證型（OV）證書：需驗證企業(yè)合法性（如營業(yè)執(zhí)照、聯(lián)系方式等），瀏覽器顯示安全鎖和組織名稱，增強用戶信任。
  • 增強驗證型（EV）證書：最高級別驗證，需通過嚴格的第三方審核（如法律文件、實體地址核實等），瀏覽器地址欄顯示綠色背景 + 組織名稱，顯著提升可信度，常用于金融、電商等高敏感場景。

2. 有效期與續(xù)期規(guī)則

當前政策（2025 年）：

• Let’s Encrypt 免費證書：
  • 有效期仍為90 天，需通過自動化工具（如 Certbot）自動續(xù)期，未及時續(xù)期會導致證書過期。
• 收費證書：
  • 最長有效期為 398 天（約 13 個月），但實際中 CA 通常提供 1 年期證書（如 GlobalSign、DigiCert 等）。
  • 部分 CA 支持自動續(xù)期或到期提醒服務，減少管理成本。

未來政策調(diào)整（CA/B 論壇提案 SC-081v3）：

• 2026 年 3 月 15 日起：
  • 所有 SSL/TLS 證書（包括收費證書）的最長有效期縮短至 200 天，無論類型（DV/OV/EV）。
• 2027 年 3 月 15 日起：
  • 進一步縮短至100 天。
• 2029 年 3 月 15 日起：
  • 最終縮短至47 天，同時驗證數(shù)據(jù)（如域名所有權(quán)）的重復使用期限從 398 天縮短至 10 天，需更頻繁重新驗證。

核心影響：

• 所有證書（包括收費證書）的有效期將大幅縮短，手動管理證書將變得不可行，企業(yè)需依賴自動化工具（如 ACME 協(xié)議、證書管理系統(tǒng)）實現(xiàn)無感續(xù)期。
• EV 證書雖仍需每年審核企業(yè)信息，但有效期同步縮短，進一步增加合規(guī)成本。

3. 域名支持范圍

• Let’s Encrypt 免費證書：
  • 支持通配符域名（Wildcard）：需通過 DNS 驗證（ACME DNS-01）申請，HTTP 驗證不支持。
  • 支持多域名（SAN 證書）：可綁定多個域名或子域名，但需手動驗證每個域名。
• 收費證書：
  • 對通配符、多域名的支持更靈活，部分廠商允許一鍵申請包含多個域名的證書，甚至支持跨域名組合（如 example.com 和 another.com）。
  • 高端證書（如 EV）可能對多域名數(shù)量有限制，需單獨購買附加項。

4. 技術(shù)支持與服務

• Let’s Encrypt 免費證書：
  • 無官方付費技術(shù)支持，依賴開源社區(qū)（如 ACME 協(xié)議文檔、論壇）或第三方工具提供商的免費教程，問題排查需自行解決。
• 收費證書：
  • 提供專業(yè)客服支持（如電話、郵件、工單），可協(xié)助解決證書申請失敗、安裝配置錯誤、兼容性問題等。
  • 部分廠商提供 SLA（服務級別協(xié)議），承諾故障響應時效。

5. 保險與法律保障

• Let’s Encrypt 免費證書：
  • 不提供任何保險或賠償保障，若因證書問題導致數(shù)據(jù)泄露或業(yè)務損失，用戶需自行承擔責任。
• 收費證書：
  • 高端證書（如 OV/EV）通常附帶責任保險（如 GlobalSign EV 證書提供最高 175 萬美元賠付），用于賠償因證書簽發(fā)錯誤或加密失效導致的用戶損失。
  • 部分廠商提供法律支持，協(xié)助處理證書相關(guān)的合規(guī)性爭議。

6. 信任標識與品牌展示

• Let’s Encrypt 免費證書：
  • 瀏覽器中僅顯示基礎(chǔ)安全鎖圖標，無獨立信任標志（Site Seal），無法直接向用戶展示證書廠商背書。
• 收費證書：
  • 可在網(wǎng)站上展示廠商信任標志（如 DigiCert、Sectigo 的 Logo），部分廠商提供動態(tài)驗證徽章（點擊后顯示證書詳細信息），提升用戶對網(wǎng)站安全性的感知。
  • EV 證書的綠色地址欄是最顯著的信任標識，尤其對金融、電商用戶影響顯著。

7. 安全性與兼容性

• 相同點：
  • Let’s Encrypt 與收費證書均由受信任的 CA 簽發(fā)，加密強度（如 TLS 1.3、SHA-256）和瀏覽器信任度完全一致，不存在 “免費證書安全性更低” 的問題。
  • 均遵循 CA/B 論壇規(guī)范，確保證書簽發(fā)流程合規(guī)。

總結(jié)：如何選擇？

• 適合 Let’s Encrypt 的場景：
  個人博客、測試環(huán)境、非商業(yè)網(wǎng)站，或需要通配符 / 多域名但預算有限的場景，優(yōu)先考慮成本與靈活性。
• 適合收費證書的場景：
  • 企業(yè)官網(wǎng)、電商平臺、金融服務等需要用戶信任的場景（尤其是 OV/EV 證書）。
  • 缺乏技術(shù)能力管理證書續(xù)期，或需要專業(yè)支持與保險保障的組織。
  • 需要復雜域名配置（如跨域名 SAN、大量子域名）且希望簡化管理的場景。
• 未來趨勢：
  隨著證書有效期大幅縮短，自動化證書管理系統(tǒng)（如 ACME 協(xié)議、HashiCorp Vault）將成為企業(yè)剛需，無論選擇免費還是收費證書，均需提前布局自動化續(xù)期策略以避免服務中斷。