国内证书厂商的 SSL 证书便宜好多，有坑吗？

@kcerty 通配符 ov 认证，找我 1k/年，哈哈哈哈哈哈哈

@rainfox 的确有 ssl 证书需求，加你了。

公司的话，没必要省这几百一千的，阿里云一键轮换省心得很。
自己维护的话，万一签发出现问题，绝对是你背锅，而且做不到阿里云一键部署的流畅度。

国内卖了一般都是国外的 CA 根在国内分销，买了时候应该跟你讲明提供哪条证书链的。除非有 GR 需要，不太建议买根是国内的。

商业证书主要是有效期更长可以不搞证书轮替自动化（换言之，风险变成运维人员操作），但 OV 一般也就一年一签，而且像 OSCP/CT 日志/CRL 分发之类的可达性会好些，能更好兼容一些默认要求严格或者信任根过于古老的客户端。EV 的话可能有些特殊系统要求，但 EV 证书通常要求用 HSM 部署，用起来会比较麻烦，一般不需要用这个。

以 Let's Encrypt 为例，目前只提供 ISRG X1 根，十几年前的设备和系统如果没法更新信任根的话就没法用这个。只有 DV ，有效期最长 3m 且将会缩短到 1m ，意味着 ACME 自动化是必须的。CRL 分发点有可能被墙，会导致某些客户端首次握手时间大幅延长。

只考虑现代系统现代浏览器的话没太大区别，基本等于花小钱请个理论上的背锅侠。

自 2026 年 3 月 15 日 起，全球公有信任的 SSL/TLS 证书最长有效期将缩短至 200 天。在此之前，现行标准为 398 天。该行业政策正逐步分阶段推进，计划于 2029 年将证书有效期进一步缩短至 47 天。
2026 年 3 月 15 日起： 最长 200 天（约 6.5 个月）。
2027 年 3 月 15 日起： 最长 100 天。
2029 年 3 月 15 日起： 最长 47 天。

证书是可用的。但是因为我们公司有很多域名，它时不时就要打电话问另外几个域名是否需要证书就很烦（域名的情况是他们查到的，不是我透露的）

DV 通一年不到 2000 ，需要的话招呼，还有 OV EV

@huyi23 #41 好好好，我先 mark 一下，有需要的时候找你

试试这个 https://ssl.dnsjia.com

微林有免费的证书服务，很好用。