也许有人会问,免费SSL证书安全吗?其实,免费SSL证书当然是安全的,而且是全球可信赖的,只是它的安全等级没有商务企业级那么高而已,对个人用户完全足够了。既然如此,那么免费SSL证书和收费的区别有哪些?一般情况下,免费SSL证书大多数是网站域名型的DVSSL证书,只能够用于基础级别的身份认证,该证书经常被用于小型企业或个人博客网站等。收费的ssl证书种类丰富,有域名验证型DV、企业验证型OV和组织验证型EV三种SSL证书,安全级别更高,提供更多的附加安全服务。现在,一灯不是和尚来盘点全网最好用的几家免费SSL证书申请网站。
本文目录
1、Let’s Encrypt
Letsencrypt.org 是目前在全球范围内使用最为广泛的免费 SSL 证书,而且自 2018 年开始提供通配符 SSL 证书,也就是 wildcard certificates。这对于广大个人站长来说,无疑是个很大的利好消息。但稍显缺憾的是,Letsencrypt.org 发行的证书有效期只有 3 个月,但可以通过定时任务来自动续期。现在 Let’s Encrypt 已经升级到了 V2 版本。
Let’s Encrypt 官方网站:https://letsencrypt.org/
如何申请 Let’s Encrypt 的免费SSL证书?你可以通过安装 LAMP/LNMP 后,使用脚本创建 SSL 证书并通过计划任务自动更新。也可以通过以下网站手动申请免费SSL证书。
- 在线申请网址1(中文):https://freessl.cn/
- 在线申请网址1(英文):https://freessl.org/
- 在线申请网址2(英文):https://www.sslforfree.com/
- 在线申请网址3(英文):https://gethttpsforfree.com/
自 2018 年 03 月 15 日起,Let’s Encrypt 正式支持发行免费的通配符证书(Wildcard SSL),但需要使用 certbot 或 acme.sh 手动发行。
2、ZeroSSL
ZeroSSL 是一家提供SSL证书的公司,从2016年起,提供有效期90天的免费SSL证书,而且可以免费续期。相对于 Let’s Encrypt 免费SSL证书,ZeroSSL免费SSL证书不受规定时间内的申请频率限制,而且有自己独立的Web管理面板,你可以很方便查看已申请的所有ZeroSSL免费SSL证书,还可以看到有效期,也可以直接下载SSL文件。
ZeroSSL 官网:https://zerossl.com/
继 Let’s Encrypt 之后,ZeroSSL 同样提供了免费的SSL证书申请,支持采用同样的ACME接口方式自动申请和续期。与 Let’s Encrypt 类似,ZeroSSL 提供支持多域名和泛域名、3个月证书有效期和域名不受限制的免费SSL安全证书。另外,在使用ZeroSSL多次申请时,也不会遇到受限的情况。当您遇到需要支持老旧设备或 Let’s Encrypt 申请受限时,可以尝试ZeroSSL证书。
3、COMODO
Comodo ,美国的软件公司,是世界优秀的IT安全服务提供商和SSL证书的供应商之一,总部设在新泽西州泽西城,成立于1998年。Comodo 也是一个全球领先的SSL证书提供商,为用户提供为期90天的免费服务。Comodo 是世界上知名的SSL证书颁发机构,著名的网络安全软件厂商,致力于为个人和企业用户提供电子邮件安全、托管DNS、PKI管理、SSL证书、安全通讯以及许多其他服务,Comodo是确保互联网具有可靠和安全性的大型证书颁发机构之一。Comodo SSL证书保护服务器和客户端浏览器之间通信连接,保证传输和接收的数据的完整性,真实性以及安全性,使COMODO成为一个非常值得信赖的品牌。
COMODO 免费SSL官网:https://www.comodo.com/email/Free-SSL-Whitepaper.php
Comodo Positive SSL证书是价格最低,颁发速度最快的SSL证书之一,是著名SSL证书品牌之一,是WebTrust认证的CA服务商,是中小型企业和个人用户的首选SSL证书安全产品。
4、BuyPass
BuyPass 是2001年成立于挪威的一家 CA 机构,提供数字证书、安全认证产品等多种服务,也提供类似于 Let’s Encrypt 一样的免费SSL证书,180天有效期,可以无限续期,且支持 ACME/Certbot 的证书自动签发服务。BuyPass 每张证书可提供 5 个域名,但不支持泛域名(通配符域名),虽然支持 ECC 证书,但根证书仍然是 RSA。BuyPass 无法接受国内域名服务商的DNS验证方式,导致不支持国内服务器申请
BuyPass 官网:https://www.buypass.com
BuyPass免费SSL证书支持acme.sh,你只需要安装了acme.sh就可以快速为你的域名申请BuyPass免费SSL证书,并且可以自动续期。这篇文章就来分享一下利用acme.sh来申请并安装BuyPass免费SSL证书,除了Let’s Encrypt免费SSL证书,BuyPass免费SSL证书也是一个不错的备选方案。
5、Cloudflare
Cloudflare 是全球最大的网络安全技术服务商,以提供无限量的免费CDN和DDoS/CC攻击防护而出名,而且 Cloudflare 很早就开始提供免费 SSL 证书,只要你的域名由 Cloudflare 托管解析,那么你就可以免费享受这些服务。
Cloudflare 官方网站:https://www.cloudflare.com/
你只需要通过 Cloudflare 的免费计划(Free Plan),通过修改NS服务器或Cname记录的方式,将域名托管在 Cloudlflare 解析。一般情况下,Cloudlflare 的免费SSL证书是由 Comodo 发行的,而且这个免费的 Universal SSL 里也会包含很多别人的域名。如果你比较介意,可以付费购买其 Dedicated SSL Certificate ($5/month) 或 Dedicated SSL Certificate with Custom Hostnames ($10/month)。
6、FreeSSL.CN
FreeSSL.CN 是亚洲诚信(TrustAsia) 旗下的免费SSL证书网站,是赛门铁克(Symantec)亚太区的白金合作伙伴,提供 90 天的免费证书申请。根据证书的使用场景,FreeSSL.CN 通常有4种证书类型:单域名、多域名、通配符和多域名通配符。 其中,单域名证书包含一个域名,但不包含子域名;多域名证书包含不同的域名;通配符证书包含一个域名和域名下的所有二级子域名;多域名通配符证书包含多个不同域名和所有二级子域名。随着 Symantec 的 CA 业务被 DigiCert 收购完成,其证书链也从 Symantec 变为 DigiCert。但现在,市面上已经没有商家提供 1 年有效期的免费SSL证书了,基本都是90天有效期。
FreeSSL.CN 官网:https://freessl.cn/
当你在 FreeSSL.CN 提交SSL证书申请后,根据你提交的验证方式(邮件,DNS,文件),你会获取到验证文件,按照不同的验证方式进行域名所有权的验证。证书的签发有一定的时间检测过程,一般在正确配置后的15分钟内,如遇到长时间未签发可以检查你的配置或者联系我们。不同的服务器环境,需要不同的证书格式,通常有PEM、CER、JKS、PKCS12等,FreeSSL.CN 提供是PEM格式,如果需要其他格式你可以通过openssl进行转换。你可以检查是否证书安装正确,不同服务器环境的安装方式不同,如果检查没有问题,请检查你的证书是否包含中间证书,你需要下载证书链安装完整证书文件。
7、免费SSL证书申请网站推荐
- Let’s Encrypt
- FreeSSL.org
- Cloudflare Free SSL/TLS
- COMODO SSL
- Certbot
- OHTTPS
- SSL For Free
- GoGetSSL
- SSL.com
- ZeroSSL
- BuyPass
- FreeSSL.cn
- Free SSL Certificate
- Get HTTPS for free
自从 Let’s Encrypt 开始提供免费 DV SSL 证书后,SSL 证书市场就已经开始洗牌了。现在,我更推荐 Let’s Encrypt、ZeroSSL、BuyPass 、COMODO SSL 和 Cloudflare 的免费SSL证书,但也都是90天有效期了。这几年,为你的网站添加 HTTPS 已经被越来越多的站长所接受, 当然,我们也乐于看到更多的 CA 提供免费的 DV SSL 证书,让网络更加安全。
除此之外,阿里云、腾讯云和华为云也提供免费SSL证书,但是你的域名必须在他们那里付费托管,适合中国大陆用户使用。其实,如果经济条件允许,您也可以选择便宜的付费SSL证书(不到40-80元/年),1年有效期,省事省心,比如 V.PS、NameSilo 和 Namechaep 等都提供相对便宜的收费SSL安全证书。
8、关于SSL证书的安全事件
(1)曾在 CA 市场也有一席之地 StarCom 原本是一家以色列的证书商,提供免费和收费的 SSL 证书,后被国内公司 360 收购。后来 StartCom 被发现允许对证书的签发日期进行倒填,从而达到规避 SHA1 证书在 2016 年 1 月 1 日之后被浏览器警告的目的。最终于 2017 年 11 月 16 日,StartCom 宣布终止业务,自 2018 年 1 月 1 日起停止颁发新证书,并于 2020 年停止 OCSP 和 CRL 服务。
(2)沃通(Wosign)被 Mozilla 认为 WoSign 最严重的问题是伪造(或者说人为设置)了证书签发日期,相继被 Mozilla 和 Chrome 不信任,最终导致被很多大客户抛弃。
本文由一灯不是和尚于2024年8月7日更新;如果您有什么意见或建议,请在文章下面评论区留言反馈。