明明 lets encrypt 可以提供免费证书, 为什么很多人还要花大钱买

我觉得主要是维护成本，免费证书仨月就要重新部署一次（实际上为了保险防止出问题导致服务中断，两个月时就得赶紧重新部署新证书，算下来一年得部署六次）

@Tdy95 我没仔细研究, 我是用 1panel 自带的证书管理功能, 很方便, 点几下就行了, 都是自动化

因为我们用到证书，不仅是 nginx 这种使用，还有 tomcat 里面直接配置，自己开发的一些应用，还有 waf 这种应用网管需要配置上 ssl 证书，这种用途每年一换还能接受，用 3 个月的免费证书没法自动化部署。

你知道人家网站一天不能登录损失多少钱吗？

你真的有调查、研究过商业证书吗？

关于证书自动更新，我用的是的 `acme.sh` 这个工具，然后他们提供了一个自动更新的命令，加到 `crontab` 就好。

但这不适用于所有场景，比如我有一个服务是对内网的，所以更新证书需要通过 DNS txt records 来完成验证。这个步骤只能手动操作（自动操作的话相当于通过把修改整个域名 DNS 记录的权限都给到这个工具了，我不是很放心）。

@cydian op 不是在问么？

没记错的话，今年好像出现了几次大厂 https 配置出现问题的情况吧

不是所有设备都支持 acme 的，甚至有的设备更换证书还要重启服务

@JensenQian 这不恰恰说明该用自动更新+免费证书么……
当然你要说商业选择，那是另一回事

公用和私用侧重点就不同，前者在意 SLA 等技术参数以外具体到执行人身上会更加在意出了问题有没有背锅侠，而后者私用就很简单了，只追求成本低其他的都无所谓。并不是说成本低不好，而是证书钱放到公司运营中其实不值几个钱，但是却可以帮助具体操办的小兵规避责任+技术支持，更何况还有做政府项目根本无法自由访问公网的环境下也要用 TLS 证书这种场景，用 3 个月的免费证书相当于帮公司省钱难为自己。

shit 啊，每次 20 几个地方，没法自动。三个月折腾一次，要疯了吧

@defunct9 #32 OP 已经说了“有自动续期”的情况下

其实安全性上是一样的

主要是两点吧，1. acme 的免费证书首次验证响应会慢一些，相比机构在亚洲的可能差别有 100 毫秒？在个别敏感地区差别可能更大，你不在乎响应速度的话那无所谓。2 不是所有设备都支持 acme 的证书，兼容性会差一些，可能会有个别设备旧一些的打不开。。。一个个人的使用体验，在我使用 acme 的免费证书的期间，用户的内购金额会比用别的证书少一些。。不知道是否是有证书的影响。

有一次买电，准备付款的时候发现那个网站用的是 letsencrypt ，脑袋里立刻响了警报。重新 google 了官方站，果然官方不用免费的 ssl 。作为代理商，李鬼站每度电额外拔毛五分钱。 如果他没用免费证书，说不定就能顺利坑到我了。

官网不是说了吗，证书存在兼容性问题。https://letsencrypt.org/zh-cn/docs/certificate-compatibility/

可能大公司习惯什么都自建，lets encrypt 的东西他们不信任，很多网站用证书只是为了那个绿色的小锁而已，而大公司是真的觉得用自己的东西更安全。

@SillyAdam 对内网服务确实是个很实际的需求。自己维护一个给内网用的 CA 其实还是很麻烦的，能用 well known CA 链还是不要自己折腾为妙。而且，你说的不信任 DNS 记录权限给工具还算好的了，这是你自己评估之后的结果。还有一种扯蛋的情况是，DNS 是信息化部门负责的，开通域名要按 A 记录逐条签署安全责任书申请审批，根本不下放子域名解析权给二级业务单位。

这么给你打个比方
你愿意花 1 块钱买一个一年证书，而且附带到期提醒，损失理赔么
你愿意买 那么公司也愿意买