除了部分商家活动以外,目前还能长期免费获取的SSL证书几乎都是通过acme签发且有效期为90天/180天的证书了
1. GTS (Google,可参考本频道先前的说明),支持RSA和ECC(但是ACME目前签出来的ECC证书会是RSA的根,原因暂时不知道),有效期为90天,支持单域名/通配符,单张证书最多100条域名记录(SAN)
2. Let’s Encrypt,大家都懂,有效期90天,支持单域名/通配符,单张证书最多100条域名记录(SAN)
3. ZeroSSL,Sectigo的根,有效期90天,支持单域名/通配符,单张证书最多100条域名记录(SAN);特别的,每个账号有三张免费的IP地址证书(需要从它的网站签发,每张证书1个IP地址,有效期也是90天)
4. BuyPass,有效期180天,缺点是只支持单域名并且每张证书最多支持5条SAN,ECC证书从RSA的根签出来的
国内各个大厂的三个月免费单域名证书就不再多言了
至于苹果目前推进的缩短证书有效期的提议,部分CA和分销商已经开始提前预案了,例如国内某家对客户的宣传里面提到了预计明年开始SSL证书最长有效期不超过200天,2027年开始不超过100天,所以总的来说自动化更新证书+部署会成为后续运维的方向之一
* 这里提到的是公开可信任的SSL证书,请不要拿Cloudflare自签的那种15年证书来做对比,没有任何意义