当前位置：首页 > news >正文

免费SSL证书正在逐渐被淘汰，证书部署自动化的发展趋势即将到来！

news 文章来源：https://blog.csdn.net/weixin_44578029/article/details/142062274 2025/5/2 23:48:42

背景
- 解决方案。
- - 1.使用自签证书（浏览器报警、免费）
  - 2.更换支持自签自续的CA机构（免费）
  - 3.付费选择CA机构
免费SSL证书正在逐渐被淘汰，证书部署自动化的发展趋势即将到来
- 免费的SSL证书有以下弊端
- - 1.有效期短：
  - 2.兼容性问题：
  - 3.不稳定性和撤销风险：
  - 4.安全性与信任度：
  - 5.加密强度：
  - 6.品牌形象：
- browser
- 谷歌提议将SSL证书有效期缩短至90天
- 未来或将强制缩短SSL证书为7天一次签发
- 为什么由浏览器（browser）去决定CA的生死？
- - 浏览器来管理CA。
- 被浏览器封杀的CA
- - 沃通
  - 赛门铁克
- 提议缩短SSL签发有效期的目的是什么？
- - 是为了赚CA的保护费吗？
  - 安全性
- 结论

背景

最近我使用的SSL证书到期了，之前都是一年一次申购，一次申请一年，然后手动进行更换，
但是今天发现，再次申请的免费证书，只可以使用3个月（90天），
这就意味着，由之前每年一更换的证书，变成了3个月，很难受。

随后，我进行了一些调研咨询，结合自身的理解，目前有以下几个

解决方案。

1.使用自签证书（浏览器报警、免费）

acme.sh是github上的一个开源项目，实现了acme协议, 可以从letsencrypt生成免费的证书。
官方文档（官方文档的使用说明很详细，推荐阅读）：
英文：https://github.com/acmesh-official/acme.sh
中文：https://github.com/acmesh-official/acme.sh/wiki/说明
参考链接https://blog.csdn.net/weixin_43735348/article/details/105311767

2.更换支持自签自续的CA机构（免费）

使用可以自动续签的，或者自动更换的，由浏览器认可的CA证书（比如OHTTPS），这种的自动更新ssl，有cdn的可以同步刷新，还支持泛域名。
以下两个是实例，我没用过
https://ssl.juyun.top/
https://www.ohttps.com/

3.付费选择CA机构

选择CA机构时，SSL证书品牌并不多，如果按照99.9信任度，交叉链不超过2级以上的，仅有：GlobalSign、DigiCert、Entrust，三家颁发机构。建议参考三项SSL证书颁发机构标准选择。贵之外没啥缺点屏蔽问题都好了很多

参考如下：
一、包括古老的操作系统及设备默认根证书信任、浏览器可信度达到99.9%。
二、SSL证书链包括服务器（域名）证书不超过三级。组成具体：一本根证书、一本中间证书、一本服务器证书，组成的证书链。
三、SSL证书中间证书必须是根证书厂方品牌，禁止使用委托PKI品牌名称。
四、颁发机构5年内未出现重大网络安全事件。
五、合法性中国境内有合法性单位（合资或外企）登记。
六、ocsp服务器全球化统一网络。

免费SSL证书正在逐渐被淘汰，证书部署自动化的发展趋势即将到来

https://baijiahao.baidu.com/s?id=1763112984966001772&wfr=spider&for=pc

免费的SSL证书有以下弊端

1.有效期短：

免费SSL证书的有效期通常很短，比如只有1个月或3个月，这导致网站管理员需要频繁地更新证书，增加了管理负担。与之相比，付费证书的有效期一般更长，可达一年或更久。频繁的证书更换不仅耗时，还可能导致因忘记更新而出现证书过期的情况，影响网站的正常访问。

2.兼容性问题：

一些免费SSL证书可能在不同浏览器和操作系统上的兼容性较差，导致部分用户访问时遇到警告或无法正常访问，影响用户体验和网站流量。

3.不稳定性和撤销风险：

免费SSL证书有可能被证书颁发机构随时撤销，且在撤销后可能没有明确的通知机制，这给网站的稳定运营带来不确定性。同时，由于缺乏商业保险和合同保障，一旦出现问题，使用者可能无法获得赔偿或法律支持。

4.安全性与信任度：

免费SSL证书在身份验证方面可能不够严格，有的仅提供域名验证（DV），而不包括组织验证（OV）或扩展验证（EV），这使得它们在建立网站的信任度方面不如付费证书。此外，部分浏览器和用户可能对免费证书持有更高的警惕，认为它们不如付费证书可靠。
技术与客户服务支持：免费SSL证书往往缺乏全面的技术支持和客户服务，当遇到安装、配置或其它问题时，用户可能得不到及时有效的帮助，增加了使用难度和潜在的风险。

5.加密强度：

免费证书可能提供的加密强度较低，不足以应对复杂的网络安全威胁，而付费证书通常提供更高级别的加密算法，确保数据传输的安全性。

6.品牌形象：

对于企业而言，使用付费SSL证书可以在一定程度上提升品牌形象，展示公司对用户数据安全的重视，而免费证书可能不足以传达这种专业性和责任感

browser

下述，这四家代表browser（浏览器）
1.微软：Edge、Internet Explorer
2.苹果：Safari
3.谷歌：Chrome
4.Mozilla：Mozilla Firefox（火狐）

谷歌提议将SSL证书有效期缩短至90天

网站安全又遇新问题？谷歌提议将SSL证书有效期缩短至90天！
使用免费证书的站长们，都有这个疑问，以前都是一年现在直接90天一下缩减3/4
但是，实际上SSL证书有效期缩短至90天这个提议是由谷歌提议并推动的.

本次谷歌的提议，声明将通过“未来的政策更新或CA/B论坛投票提案”来执行，
但实际上，CA/B的信息没有意义，因为整个SSL体系是由B来说了算的，CA说白了就是参与方，象征性的投票。
因为如果CA或者其他的B不同意，谷歌大概率会走“政策更新”这条苹果走过的老路了，
作为 Chrome 根程序的要求，来单方面强制执行此更改，并且让其成为每个商业公共CA都不得不遵循的事实标准。

本次缩短至90天,没有强制执行，只是browser方的四个同意了,等同于同意执行,
浏览器执行信任根政策，只要b的四个同意执行就是没跑了。

未来或将强制缩短SSL证书为7天一次签发

谷歌最新的提议将SSL证书有效期缩短为7天，,提议是否落实，就要看其他的browser是否同意了，目前还没有任何提交讨论的实际行动，但不排除，Chrome进行 “政策更新”，作为 Chrome 根程序的要求，来单方面强制执行此更改。强制执行

为什么由浏览器（browser）去决定CA的生死？

浏览器来管理CA。

browser不做信任根，只是做浏览器去信任某个根证书，这四家没有一家浏览器是卖证书的，他们是作为浏览器一方来管理CA，并且browser的决策，是直接到影响这些CA机构，
由于浏览器信任根机制，导致他们对于CA有约束力，通常来讲一些决策需要上述的browser全部同意才能执行，

大家所熟知的，globalsign、科摩多这种不过就是CA机构，而已下图所示
在这里插入图片描述

被浏览器封杀的CA

browser就是负责管理CA的，如果没有按照规则执行那么结果就是和沃通一样，沃通以及沃通签发的所有证书全部失效

沃通

比如，当年沃通就是被这么搞死了，不过也是作死，子域名能签出来根域名

在这里插入图片描述

赛门铁克

谷歌怒了宣布将不再信任赛门铁克SSL证书

提议缩短SSL签发有效期的目的是什么？

是为了赚CA的保护费吗？

是想让CA给它交保护费？交了钱就可以一年签发？

没必要，因为就算不这么做CA也要交保护费, 不管怎么样CA一样要交保护费，CA交的钱一点也不少
而且，做浏览器的怎么会馋CA赚的钱，除了Mozilla，这家比较特殊以外，其他自己业务早就赚翻天了，做浏览器的都是大公司，不在意这点的，安全考量确实有必要。反正这四家除了Mozilla缺钱，其他的压根看不上

CA能赚钱的业务是OV EV而非DV
而OV EV这些要审核的，缩短了SSL的签发有效期，会加大CA的工作压力，算上审核，签发，调试的时间，真搞成7天估计每天都在更新证书。

安全性

因为过长的证书时间泄露风险就会越大，
而且谷歌的最终目的就是，像cloudflare那样，让所有网站可以自动更新SSL,证书部署自动化，泛域名、更新CDN。

所以，谷歌有点太理想了，一直都是浏览器这边再强行推进，CA机构是很反对缩短时间的。

结论

CAB联盟以前是听CA的话,后来浏览器这边搞了一套信任策略,然后现在就是CA听B的话

目录

背景