对于个人博客或测试环境，免费 DV 证书完全够用；如果是企业官网或面向老旧设备用户，付费 DV 证书在兼容性和运维省心程度上更有优势。

核心差异解析

不需要纠结加密技术，DV 类型的免费和付费证书在加密算法（RSA/ECC）上没有本质区别。决策核心在于你能接受多大的运维麻烦，以及你的用户群体设备是否复杂。

如果团队有自动化运维能力，能确保证书每 3 个月自动续期，免费证书是性价比首选。如果希望一次部署管一年，或者担心自动脚本失效导致网站挂掉，付费证书的服务保障更稳妥。

技术原理与误区

兼容性差异主要源于根证书的预埋范围。付费证书通常由商业 CA 机构签发，这些机构的根证书在操作系统和浏览器中的预埋历史更久，覆盖了一些老旧的安卓版本或特定企业内网环境。免费证书虽然也被主流浏览器信任，但在部分非主流或旧版本环境中，可能因为中间证书链缺失而不被信任。

有效期差异则是安全策略决定的。免费证书短周期主要是为了降低私钥泄露风险及推动自动化运维普及，而非为了转化付费用户。公开资料中常见免费证书有效期为 90 天，付费证书通常为 1 年或 13 个月。

实操选型与部署

1. 主流 CA 机构对比：

• 免费：Let's Encrypt（非营利组织，兼容性较好）、ZeroSSL。
• 付费：DigiCert（兼容性极佳，适合金融）、Sectigo、GlobalSign。

2. 自动化续期示例：

使用 acme.sh 脚本管理 Let's Encrypt 证书，确保持续可用：

acme.sh `--issue` -d example.com `--webroot` /var/www/html
acme.sh `--install-cert` -d example.com \
`--cert-file` /etc/ssl/certs/example.com.cert \
`--key-file` /etc/ssl/private/example.com.key \
`--reloadcmd` "systemctl reload nginx"

3. 确认预算与需求：

单纯为了 HTTPS 小绿锁，免费即可。如果需要证书保险赔付、多域名管理或子域名通配符支持，付费证书功能更灵活。

验证与兼容性测试

部署后，可以通过以下方式检查证书状态和兼容性：

1. 浏览器检查：点击地址栏小锁图标，查看证书有效期和颁发者。确保证书链完整，没有警告。

2. 命令行查询：使用 OpenSSL 命令查看服务器证书详情，确认有效期时间。

openssl s_client -connect yourdomain.com:443 | openssl x509 -noout -dates

3. 兼容性测试工具：

• SSL Labs：https://www.ssllabs.com/ssltest/ （权威兼容性评分）
• MySSL：https://myssl.com/ （国内访问速度快，含合规检测）

常见风险与排查

1. 自动续期失效：免费证书最常见的问题是自动化脚本因网络波动或配置变更失效，导致证书过期网站无法访问。建议设置到期前邮件提醒，并监控 cron 任务日志。

2. 旧设备不信任：部分 Android 7.1.1 以下版本可能不信任新的免费 CA 根证书（ISRG Root X1）。解决方案是配置交叉签名（Cross-signing）或使用付费证书。

3. 混合内容报错：无论免费还是付费，如果页面内引用了 HTTP 资源，浏览器仍会显示不安全，这与证书类型无关，需修复代码。

参考资料

• Let's Encrypt 官方文档：https://letsencrypt.org/docs/
• CA/Browser Forum 基线要求：https://cabforum.org/baseline-requirements-documents/
• SSL Labs 测试工具：https://www.ssllabs.com/ssltest/