免费SSL证书,Let"s Encrypt,会有一些信任问题,一般建议个人或小微企业使用,大型商业网站,可以作为过渡使用,那么有可能存在哪些问题呢?
其实,Let's Encrypt作为主流免费SSL证书机构,其证书本身加密强度符合行业标准,但在实际使用中仍存在多类信任相关问题,具体如下:
一、证书链与兼容性类问题
- 证书链不完整导致信任失败
这是最常见的问题,Let's Encrypt的证书体系采用「根证书ISRG Root X1→中间证书R3→站点证书」的三级链式结构,如果服务器配置时仅提供站点证书(cert.pem),未同步加载包含中间证书的完整链文件fullchain.pem,浏览器、移动端客户端就无法追溯到可信根证书,直接判定站点不安全。 - 旧系统/旧浏览器兼容性差
2021年9月DST Root CA X3旧根证书到期后,部分2016年之前发布的老旧设备(如旧版安卓系统、Windows XP、老旧嵌入式终端)没有预装ISRG Root X1新根证书,会直接将Let's Encrypt证书标记为不可信,大量遗留的未更新系统无法正常访问站点。 - 特殊客户端适配缺陷
部分开发框架默认不会自动下载缺失的中间证书,比如Flutter应用的安全上下文默认不会主动补全Let's Encrypt的中间证书,会直接抛出certificate verify failed的验证失败错误,导致APP无法正常连接后端服务。 
二、证书签发与安全类问题
- 历史漏洞引发大规模吊销
2020年Let's Encrypt曾因ACME协议的域名验证逻辑漏洞,错误签发了超过300万张域名证书,后续为了规避安全风险批量吊销这批证书,导致大量站点突然出现信任报错,业务直接中断。 - 验证级别低易被滥用
Let's Encrypt仅支持域名验证(DV)级别的证书,不支持组织验证(OV)和扩展验证(EV),仅通过域名所有权校验即可快速签发证书,攻击者一旦通过DNS劫持、站点文件篡改等方式拿到域名控制权,就能快速申请到合法证书用于钓鱼攻击,普通用户很难通过证书标识区分正规站点和恶意钓鱼站点。
三、运维与机制类问题
- 短有效期与续期风险
证书默认有效期仅90天,必须配置自动化续期机制,一旦自动化脚本故障、服务器网络异常,很容易出现证书过期未更新的情况,直接触发浏览器的不信任警告,中断用户访问。 - 无商业保障机制
作为非营利机构,Let's Encrypt没有提供商业证书常见的安全赔付机制,也没有7×24小时的专业技术支持,一旦出现信任故障,用户无法快速获得官方响应,也无法申请对应的损失赔付,对高可用要求的企业级业务存在明显风险。 - 遗留CT日志服务调整风险
2025年8月Let's Encrypt宣布将在2025年11月30日把原有RFC 6962标准的CT日志切换为只读模式,2026年2月28日完全关停该类日志,部分依赖旧CT日志校验证书的老旧客户端可能会出现信任校验异常的问题。
当然,对于个人用户或者小微企业的展示型官网而言,这些问题的实际影响不大,可放心使用。