如何对比 Let's Encrypt 和商业 SSL 证书的安全性区别？

从加密传输层面看，Let's Encrypt 和商业 SSL 证书没有本质区别，但企业级场景需要重点考虑验证级别、管理支持和兼容性保障。

先说结论：个人网站、博客、测试环境用 Let's Encrypt 完全够用，电商、金融、企业官网建议选商业 OV/EV 证书。

核心安全参数对比

对比安全性不能只看“免费”或“付费”，应关注以下关键参数：

如果你已经决定用 Let's Encrypt，以下是 Certbot 快速申请命令：

sudo certbot `--nginx` -d yourdomain.com `--agree-tos` `--email` your_email@example.com `--redirect`

泛域名证书需要 DNS 验证：

sudo certbot certonly `--manual` `--preferred-challenges` dns -d "*.yourdomain.com"

商业证书没有统一命令，需要在 CA 官网提交 CSR 文件后手动部署。生成 CSR 命令参考：

openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr

Let's Encrypt 证书有效期只有 90 天，需要自动续期。商业证书目前公共信任上限为 398 天，虽需频繁续期但通常支持自动化管理。短有效期其实是安全设计，能限制密钥泄露和错误签发带来的损害窗口。

自 2020 年 9 月起，主流浏览器（Apple Safari, Google Chrome 等）限制公共信任 SSL 证书有效期上限为 398 天，购买时需注意合规性。

访问 https://yourdomain.com，浏览器地址栏应显示锁形图标。点击锁形图标可查看证书详情，确认颁发机构和有效期。

用在线工具检查证书链完整性：

命令行验证证书信息：

echo | openssl s_client -connect yourdomain.com:443 2>/dev/null | openssl x509 -noout -dates -subject -issuer

检查点：证书链完整、无中间证书缺失、协议版本 TLS 1.2 及以上、加密套件无已知漏洞。

坑一：自动续期失败

Let's Encrypt 依赖自动化，如果服务器防火墙、DNS 配置变化，续期可能失败。建议设置续期失败告警，Certbot 支持邮件通知。检查定时任务：

sudo systemctl list-timers | grep certbot

坑二：泛域名证书验证方式

公共信任的泛域名证书通常强制要求 DNS 验证，无论免费还是商业。尝试 HTTP 验证申请泛域名证书会失败。

坑三：企业环境缺乏支持

Let's Encrypt 没有客服支持，出问题时只能查文档或社区。商业证书通常有技术支持和赔偿机制，适合对稳定性要求高的场景。

坑四：钓鱼网站滥用

公开资料中有统计显示，部分钓鱼网站使用 Let's Encrypt 证书，因为获取门槛低。这不代表证书本身不安全，但用户看到锁形图标可能误判网站可信度。企业官网用 OV/EV 证书能更好展示身份。

坑五：根证书变更影响

2021 年 Let's Encrypt 曾发生根证书到期事件，影响部分旧设备兼容性。虽然已修复，但提醒我们免费 CA 的根证书策略可能变化，需要关注官方通知。