所有主流云平台(阿里云、腾讯云、华为云)都已取消1年期的免费SSL证书,全部改为3个月有效期的单域名证书。这使Let'sEncrypt/ZeroSSLL的通配符支持更具优势。免费 SSL 证书在域名支持上存在显著限制,不同主流机构在通配符支持、多域名覆盖、验证方式及有效期上差异较大。下面是核心对比及机构间的主要差别:
一、域名限制核心对比
通配符支持(*.example.com)
支持:Let's Encrypt、ZeroSSL 提供免费通配符证书(如 *.yourdomain.com),可覆盖所有子域名
不支持:腾讯云、阿里云等平台的免费证书仅限单域名(如 www.yourdomain.com),不提供通配符选项。
多域名证书(一张证书保护多个独立域名)
免费证书普遍不支持多域名(如同时保护 site1.com 和 site2.com)。
例外:JoySSL 提供免费多域名及通配符证书(需注册码),但需注意其长期稳定性。
单域名限制
云平台(腾讯云、阿里云)免费证书仅限单域名,每个子域名需单独申请证书。若需保护20个子域名,则需申请20张证书,管理成本高。
Let's Encrypt 虽支持通配符,但单次申请需明确列出所有域名(主域+子域)。
域名验证方式
HTTP验证:需在网站根目录放置验证文件(对负载均衡架构不友好)。
DNS验证:需添加TXT记录(如Let's Encrypt + acme.sh脚本),适合自动化但需API权限。
CNAME验证:腾讯云等平台简化验证(仅需添加CNAME记录)。
有效期与续期
均为3个月:所有主流免费证书(包括Let's Encrypt、ZeroSSL、云平台)有效期均缩短至3个月。
续期要求:需频繁更新,否则导致网站访问风险(如浏览器警告)。
二、主流免费SSL机构对比
以下为各机构在域名支持、验证、自动化等方面的差异总结:
特性 腾讯云/阿里云(TrustAsia) JoySSL
通配符支持 ❌ 仅单域名 ✅ 支持(需注册码)
多域名支持 ❌ 仅单域名 ✅ 支持
验证方式 CNAME(简单) DNS/文件验证
自动化续期 ❌ 需手动操作 ❌ 手动或未知
国内访问兼容性 ✅ 稳定(国内CA签发) ✅ 国内验签
申请限制 限额(如20张/年) 无限制(使用注册码)
三、关键注意事项
通配符 vs 单域名管理成本
若有多个子域名,Let's Encrypt通配符证书是首选(一证覆盖所有子域),避免腾讯云单域名证书的重复申请。
示例:20个子域名需20张单域名证书 vs 1张通配符证书。
自动化续期必要性
Let's Encrypt 需搭配 acme.sh 等工具实现自动续期,否则手动更新极易遗漏。
云平台证书无自动续期,到期前需登录后台重新申请。
国内服务的特殊考量
Let's Encrypt 因OCSP服务器在海外,可能引发国内访问延迟(尤其Safari)。
腾讯云等国内CA证书无此问题,但2024年均取消1年期免费证书,全面改为3个月。
经过上面对比总结一下
多子域名场景:选 Let's Encrypt/ZeroSSL 通配符证书 + acme.sh 自动化(节省管理成本)。
单域名简单需求:腾讯云等平台的 DV单域名SSL证书(验证简单,适合新手)。
多域名或免限额:可尝试 JoySSL(需关注长期可用性)。
企业级需求:付费证书(OV/EV)支持多域名、通配符及更长有效期(1-2年),含技术支持与保险赔付。
用户若使用Let's Encrypt,建议开启 OCSP Stapling 以缓解国内访问延迟问题。
