免费证书，真的适合您吗？

SSL证书的作用是用于认证网站的身份，以及对服务器与用户之间所传输的数据进行加密。随着互联网的发展和数据安全知识的普及，SSL证书几乎已经成为了网站的标配。

目前市面上主要有两类SSL证书，付费SSL证书和免费SSL证书。一些个人网站或者企业网站的运营者为了节约成本，往往更倾向于选择免费的SSL证书。尽管从通讯协议方面来看，免费SSL证书也可以启用HTTPS加密。然而，免费SSL证书真的适合您吗？

一、免费证书存在随时被吊销的风险

2020年2月29日，免费证书颁发机构(CA) Let’s Encrypt 表示，因为CAA验证出现漏洞，由此签发的300多万张SSL/TLS证书需要在（世界标准时间UTC）3月4日起开始强制吊销。

2022年1月26日，Let’s Encrypt又计划撤销约200万个不符合相关政策的HTTPS证书。

不难看出，免费的SSL证书并无完善的相关权益保障，基于验证漏洞的免费SSL证书随时可能被证书颁发机构吊销。而对于免费SSL证书的用户，则可能承担着因证书吊销导致数据泄露，业务中断的巨大风险。

二、免费证书验证级别低，为不法分子窃取信息提供了便利

SSL证书按照验证类型可以分为域名验证（Domain Validation，简称DV）SSL证书、企业验证（Organization Validation，简称OV）SSL证书、增强验证（Extended Validation，简称EV）SSL证书。而市面上提供的免费SSL证书多数为域名验证（Domain Validation，简称DV）SSL证书。

申请此类证书仅验证域名管理权，无需通过人工验证申请组织真实身份。如果身份是虚假的，那安全挂锁和加密又有何意义？免费证书给企业网站留下了巨大的安全隐患和漏洞。不法分子仅需要验证域名的管理权即可轻松获取到免费的SSL证书，从而为自己的网站披上安全可信的外衣，仿冒真实的网站进而获取用户敏感信息就变得轻而易举。

而此时作为网站安全保障的SSL证书却成为了不法分子设立“钓鱼”服务器的助推器。

三、免费SSL证书还存在着验证有效期，技术支持方面等的诸多限制

市面上提供的免费证书验证有效期大多数为1个月或者3个月，而免费证书的提供商并不一定会及时通知到每个使用者。免费证书的用户每1个月或者3个月就要重新申请和更新一次。

此外，免费的SSL证书提供商不会为用户提供全天候的技术和服务支持，用户需要自己完成证书验证，安装工作，对安装后出现的任何问题均需要自己排查和解决。

所以，个人用户和企业用户想要真正确保网站安全，免费的SSL证书并不是最优解。为了保障网站加密传输，维护企业的信誉，应尽可能选择使用OV或者EV证书，而不是免费的DV证书。