博客HTTPS证书选型指南:Let's Encrypt vs 付费证书实测对比

我的博客HTTPS证书前阵子到期了,续费的时候一看账单——妈呀,Comodo一年要899块。这价格对于个人博客来说属实有点离谱了。

然后我就开始研究有没有免费的替代方案,研究了一圈发现Let's Encrypt真香啊。用了大半年了,稳定得很,今天把选型和配置经验全部分享出来。

先说说什么是HTTPS,为什么博客必须有

HTTPS是HTTP的安全版本,传输的数据会被加密。百度从2018年开始明确表示HTTPS是排名因素之一,用HTTP的网站百度会标注「不安全」,用户体验差,信任度低。

更重要的是,现在浏览器默认阻止HTTP页面的某些功能,比如Service Worker、Push通知、地理定位等。不用HTTPS,你的博客连这些功能都用不了。

所以结论很简单:博客必须上HTTPS,没有商量余地。

HTTPS证书有哪些类型?

证书主要分三种验证等级:

1. 域名验证型(DV)

只验证你对域名有控制权,不需要提供公司信息。申请最简单,审批最快,个人博客用这个就够了。

2. 组织验证型(OV)

除了验证域名,还要验证申请者的组织信息。浏览器地址栏会显示组织名称,可信度更高,但申请要1-3天。

3. 扩展验证型(EV)

最严格的那种,浏览器地址栏会显示绿色的公司名称。金融、电商类网站常用,个人博客没必要,贼贵。

我们个人博客,选DV就够了。

Let's Encrypt vs 付费证书对比

先看表格:

对比项Let's Encrypt(免费)付费证书(Comodo等)
价格完全免费100-2000元/年
验证方式DVDV/OV/EV
颁发速度几分钟几分钟到几天
有效期90天1-2年
浏览器兼容性完全兼容完全兼容
技术支持社区论坛邮件/电话支持
通配符证书支持支持(贵)
续期方式自动续期手动或自动

付费证书的优势主要是:有效期长(不用每90天续一次)、技术支持好(出了问题有人帮你)、适合企业(OV/EV证书增加信任度)。

对于个人博客来说,Let's Encrypt完全够用了。

Let's Encrypt详细实测

Let's Encrypt是互联网安全研究小组(ISRG)推出的免费证书项目,背后有Mozilla、Cisco、Google等大公司支持,口碑一直很好。

优点:

1. 完全免费,没有套路

2. 兼容所有主流浏览器

3. 支持通配符证书(一证多用)

4. 有自动化工具,续期不用手动

5. 社区活跃,文档完善

缺点:

1. 有效期只有90天(需要自动续期)

2. 没有商业保险(但个人博客要啥保险)

3. 通配符证书申请稍微复杂一点

申请方式:

推荐用 Certbot 工具,这是Let's Encrypt官方推荐的客户端,支持 Nginx、Apache、宝塔面板等。

```bash

Ubuntu/Debian 安装 Certbot

sudo apt update

sudo apt install certbot python3-certbot-nginx

Nginx 自动配置(最简单的方式)

sudo certbot --nginx -d yourblog.com -d www.yourblog.com

Apache 自动配置

sudo certbot --apache -d yourblog.com -d www.yourblog.com

```

如果是宝塔面板,直接在面板里点几下就能申请,连命令行都不用敲。

付费证书什么时候值得买?

虽然我一直用Let's Encrypt,但付费证书在某些场景下确实有优势:

1. 多域名证书

Ubuntu/Debian 安装 Certbot-第1张图片-无双博客

Let's Encrypt每个证书最多包含100个域名,但如果你有几十个域名要保护,付费证书管理起来更方便。

2. 企业形象需要

有些B2B业务,合作方会看你的网站有没有EV证书(绿色地址栏)。如果是正经做生意,这个钱值得花。

3. 懒得续期

90天续期一次虽然可以自动,但如果你的服务器经常重装,或者不想折腾,付费的一年证书省心。

4. 技术支持

出了问题有人帮你解决,对于非技术出身的站长来说,这个服务值点钱。

宝塔面板申请Let's Encrypt教程

用宝塔的同学按这个步骤来,5分钟搞定:

1. 登录宝塔面板,找到目标网站,点击「设置」

2. 左边的菜单里找「SSL」

3. 选择「Let's Encrypt」标签页

4. 勾选要申请证书的域名(通常勾选带www和不带www的两个)

5. 点击「申请」

6. 申请成功后,开启「强制HTTPS」

7. 后面再找到「自动续期」勾上,以后就不用管了

注意:申请证书之前,确保域名已经解析到服务器,而且DNS生效了。Certbot会通过域名验证你有控制权。

续期那些坑

Let's Encrypt的证书有效期是90天,虽然可以自动续期,但自动续期失败是很多人踩过的坑。

常见原因:

1. cron任务没配:Certbot装完之后,续期cron任务没配或者配错了。

2. 443端口被占用:服务器上跑了别的服务占着443端口,续期的时候验证失败。

3. 防火墙没开443:443端口没放行,Let's Encrypt的验证请求进不来。

4. 域名解析变了:续期的时候DNS解析变了,导致验证失败。

建议装完证书后,手动跑一次续期命令测试:

```bash

sudo certbot renew --dry-run

```

如果这个命令报错,赶紧排查,别等证书真的过期了才急。

通配符证书怎么申请

如果你的博客有多个子域名(比如www、blog、api),通配符证书可以一张证书管所有:

```bash

sudo certbot certonly --manual --preferred-challenges dns -d yourblog.com -d "*.yourblog.com"

```

这会用DNS验证的方式申请通配符证书。申请完之后需要在DNS服务商那里加一条TXT记录,Certbot会告诉你加什么。

通配符证书每年还是要续的,但好处是新增子域名不用重新申请证书了。

我目前的选型方案

我自己的方案是这样的:

  • 主域名 www.wushuangbk.com:用 Let's Encrypt 免费证书
  • 博客用的是同一个域名,不用额外证书
  • 宝塔面板设置自动续期,从没手动管过
  • 用了快2年了,一次问题没出过

个人博客这么用完全没问题。

总结建议

场景推荐方案
个人博客/小网站Let's Encrypt 免费证书 + 自动续期
多域名个人站Let's Encrypt 通配符证书
企业官网/B2B站付费OV/EV证书
电商/金融站付费EV证书 + 商业保险

对于绝大多数个人博客来说,Let's Encrypt就是最优解。省钱、稳定、够用。那些卖你899一年证书的,不是骗子就是欺负你不懂。

还有什么SSL证书相关的问题,欢迎来无双博客留言!


标签:HTTPS证书,Let's Encrypt,SSL配置,博客安全,证书选型