免费SSL证书大盘点：Let‘s Encrypt、阿里云、腾讯云……最大的坑不是申请，是忘记续

一、免费证书够用了，主要是省钱

小团队、个人项目，SSL证书免费的就够了。

以阿里云为例，付费的DV证书（域名验证型）一年几百块，OV证书（组织验证型）一年上千甚至几千。DV证书最便宜的也要三四百起，多几个域名，一年光证书费用就是一笔不小的开支。

免费证书功能上跟DV证书没区别，都是浏览器显示小锁，都是HTTPS加密。对大部分小网站、内部系统、测试环境来说，免费的完全够用。

所以现在市面上用免费证书的人很多，Let's Encrypt、阿里云、腾讯云、华为云，每家都提供免费证书。有效期大多是90天，少数能到一年。

申请也简单，控制台点几下，或者命令行跑个脚本，几分钟搞定。

但用得多了，我发现免费证书最大的坑，不是申请，是续期。

二、主流免费SSL证书，各家什么情况

Let's Encrypt

最老牌的免费证书，90天有效期。通过 certbot 或者 acme.sh 申请，配个 crontab 定时任务自动续期。

理想状态下，一次配置，终身自动续。但现实是，脚本可能因为各种原因挂掉：服务器时间不准了、DNS解析出问题了、ACME协议更新了客户端没跟上。一旦脚本静默失败，90天后证书过期，你完全不知道。

关键是，Let's Encrypt 没有任何主动提醒。脚本跑成功了就成功了，失败了就失败了，全看你有没有自己监控。

阿里云免费证书

90天有效期，控制台一键申请。到期前有短信、邮件、站内信提醒。

腾讯云免费证书

以前有一年期免费证书，现在也改成90天了。控制台申请，到期前有短信、邮件提醒。免费证书有额度限制，多域名可能不够用。

华为云和其他厂商

大同小异，90天有效期，控制台申请，到期前提醒。

CDN附带的免费证书

又拍云、七牛云这些CDN服务商也提供免费证书，有效期通常一年。但证书绑在CDN上，源站没有，换了CDN服务商证书就没了。

三、各家共同的毛病

不管你选哪家，三个问题绕不开：

1. 有效期短

90天是主流。一个域名一年要换四次证书。域名多了，哪天该续哪个，光靠脑子记不现实。

2. 提醒不一定到位

厂商都发了提醒，但提醒这件事有个特点：发出去和收到了是两码事。短信可能被拦截，邮件可能进垃圾箱，站内信没人天天看。而且提醒发给账号注册人，实际负责运维的可能是另一个人。提醒发了，你没看到，证书照样过期。

3. 多域名管理分散

不同域名可能在不同厂商申请证书，阿里云一个、腾讯云一个、Let's Encrypt一个。想统一看一眼还有多久过期，得挨个登录控制台查。

四、加一层监控兜底

我的做法是：厂商提醒是第一道防线，云哨兵SSL证书监控是第二道。

跟厂商提醒比，几个不一样的体验：

提醒时间可以自定义

厂商提醒时间是固定的，一般都是30天、15天、7天、1天这种节点。云哨兵可以以天为间隔自定义提醒时间，想提前多少天提醒自己说了算。比如我想提前60天就开始关注，或者等到临期前3天才提醒，都可以灵活设置。

通知推到你真正会看的渠道

不依赖站内信和短信，支持企业微信、钉钉、飞书、邮件。推到每天在用的IM上，消息弹出来一定会看到。

统一管理多域名

不管证书从哪申请的，都加到云哨兵里，一个面板看所有证书到期时间。不用挨个登录控制台查。

双重兜底，不是替代

不是说厂商提醒不好，而是多一层更安全。厂商提醒漏了，云哨兵还能兜一次。

五、写在最后

免费SSL证书本身没问题，90天有效期从安全角度看甚至是好事。问题是管理成本。

厂商已经帮我们做了提醒，但提醒能不能真正触达到人，是个不确定的事。域名多了以后，漏掉一个太正常了。

多一层监控，多一份安心。配置也就几分钟的事，比证书过期后用户全被浏览器拦在外面、然后手忙脚乱去补，划算多了。