预计阅读时间:8 分钟
Let's Encrypt 是什么?
Let's Encrypt 是一个免费、自动化、开放的证书颁发机构(CA,Certificate Authority),由 互联网安全研究小组(ISRG,Internet Security Research Group) 运营。它的主要目标是消除 HTTPS 加密的障碍(比如费用高、配置复杂、需要手动续期),让全球的网站都能轻松免费使用 SSL/TLS 证书,从而实现 HTTPS 加密访问。
它于 2015 年 12 月 开始公测,至今已经免费签发了超过 2.25 亿张证书,帮助全球 超过 85% 的网站 实现了 HTTPS 加密。
Let's Encrypt 的核心特点
Let's Encrypt 的运作基于 4 个核心原则,确保任何人都能轻松、安全地获取 SSL/TLS 证书:
1. 免费(Free)
- 任何人都可以免费申请 SSL/TLS 证书,不需要花钱购买(不像传统的商业 CA,比如 DigiCert、GeoTrust,动辄几百甚至几千美元一年)。
- 适用于个人博客、小企业网站、非营利组织等,降低了 HTTPS 的使用门槛。
2. 自动化(Automated)
- 证书的申请、安装、续期都可以自动化,不需要手动操作(比如不用自己生成 CSR、上传证书文件、手动续期)。
- 主要依靠 ACME 协议(Automatic Certificate Management Environment,自动证书管理环境) 来自动管理证书生命周期。
3. 安全(Secure)
- 虽然证书是免费的,但安全性不降低,仍然采用 标准的 TLS 加密技术,并且证书由 IdenTrust(一个受信任的根证书颁发机构)交叉签名,确保全球浏览器都信任。
- 证书有效期 90 天(比传统证书短,但可以自动续期),并且 Let's Encrypt 推动 现代 TLS 最佳实践(比如更强的加密算法)。
4. 透明(Transparent)
- 所有证书的签发和吊销记录都是公开可查的,并且 Let's Encrypt 会定期发布透明度报告,确保运作公开、可信。
Let's Encrypt 提供什么?
Let's Encrypt 主要提供 免费 SSL/TLS 证书,目前主要有 3 种类型(但大部分用户只需要 DV 证书):
1. 域名验证证书(DV, Domain Validation) ✅ 最常用
- 只需要证明你拥有这个域名(比如通过 HTTP 或 DNS 验证)。
- 适用于:个人博客、企业官网、电商网站(只要你有域名,就能申请)。
- 浏览器会显示“安全锁”图标,证明网站是 HTTPS 加密的。
2. 组织验证证书(OV, Organization Validation)
- 除了验证域名,还要验证公司/组织的真实性(比如营业执照)。
- 适用于:企业官网、政府机构(证书会显示公司名称,比 DV 更可信)。
3. 扩展验证证书(EV, Extended Validation)
- 最严格的验证方式,需要提供法律、财务等详细资料,浏览器会显示绿色地址栏 + 公司名称(比如银行、大公司官网)。
- Let's Encrypt 目前不提供 EV 证书(但其他商业 CA 如 DigiCert、Sectigo 提供)。
⚠️ 大多数用户只需要 DV 证书(免费、自动、足够安全)。
Let's Encrypt 是怎么工作的?(自动化流程)
Let's Encrypt 的核心是 ACME 协议,它让证书的申请和续期完全自动化。大致流程如下:
1. 申请证书(证明你拥有域名)
- 你使用 Certbot(或其他 ACME 客户端) 向 Let's Encrypt 申请证书。
- Let's Encrypt 会给你一个验证挑战(比如让你在网站根目录放一个文件,或者添加一个 DNS TXT 记录)。
2. 验证域名所有权
- 你按照要求完成验证(比如上传文件或修改 DNS)。
- Let's Encrypt 检查你的验证是否正确,确认你真的拥有这个域名。
3. 签发证书(几分钟后生效)
- 验证通过后,Let's Encrypt 会自动签发 SSL/TLS 证书(通常是 90 天有效期)。
- 你的服务器(比如 Nginx、Apache)会安装这个证书,网站就可以用 HTTPS 访问 了。
4. 自动续期(每 60 天自动更新)
- Let's Encrypt 的证书 90 天后过期,但不用担心,因为:
- Certbot 等工具会自动在 60 天后续期(提前续期,避免过期)。
- 续期也是全自动的,不需要手动操作。
为什么推荐使用 Let's Encrypt?
| 优点 | 说明 |
|---|---|
| ✅ 免费 | 不用花钱买证书,适合个人、小企业、非营利组织 |
| ✅ 自动化 | 证书申请、安装、续期全自动化,不用手动操作 |
| ✅ 全球信任 | 证书被所有主流浏览器(Chrome、Firefox、Edge)信任 |
| ✅ 提升安全性 | 强制 HTTPS,保护用户数据(防止中间人攻击) |
| ✅ 适合 SEO | Google 优先收录 HTTPS 网站,有利于搜索引擎排名 |
如何申请 Let's Encrypt 证书?(推荐 Certbot)
最简单的方法是使用 Certbot(一个免费的 ACME 客户端,支持 Nginx/Apache 自动配置)。
1. 安装 Certbot(以 Ubuntu/Debian 为例)
sudo apt update
sudo apt install certbot python3-certbot-nginx # 如果用 Nginx
# 或者
sudo apt install certbot python3-certbot-apache # 如果用 Apache
2. 自动申请并配置 HTTPS
sudo certbot --nginx -d 你的域名.com -d www.你的域名.com
(如果是 Apache,用 --apache 代替 --nginx)
3. 自动续期(Certbot 会自动处理)
sudo certbot renew --dry-run # 测试续期是否正常
Certbot 会每 60 天自动续期,并重启 Nginx/Apache 让新证书生效。
总结
| 问题 | 答案 |
|---|---|
| Let's Encrypt 是什么? | 一个免费、自动化、开放的 SSL/TLS 证书颁发机构,让全球网站都能轻松使用 HTTPS |
| 它提供什么? | 免费 DV(域名验证)SSL 证书,适用于个人、企业网站 |
| 证书安全吗? | 安全,由 IdenTrust 交叉签名,全球浏览器都信任 |
| 证书要钱吗? | 完全免费(不像商业 CA 要收费) |
| 证书多久过期? | 90 天,但会自动续期(不用手动操作) |
| 怎么申请? | 用 Certbot(推荐)或其它 ACME 客户端,几分钟搞定 |
🚀 结论:Let's Encrypt 让 HTTPS 加密变得免费、简单、安全,是个人和企业网站的最佳选择!
本文由 hiram 原创,转载请注明出处。