明明 lets encrypt 可以提供免费证书, 为什么很多人还要花大钱买

@iorilu #7
第一点 你免费的证书兼容性一定没有付费证书的兼容性强，有点低版本安卓是不识别免费 ssl 证书的 只是你没遇到过
第二点 商业证书的安全性比免费的强太多了 ， 如果是他证书造成的 数据泄漏 ，他有赔付的。你免费证书能用就行了，
所以通常免费证书的使用人群就是小企业 还有个人用户，大公司都是付费的

@nanjingwuyanzu #78 ZeroSSL

@nanjingwuyanzu lets encrypt

@iamshang #56 ，这个是为什么呢？和 SSL 证书不一样，这个一般人接触不到，
qq.com/tencent.com/baidu.com 域名都是在这里

@XDiLa
Google 的免费证书服务 https://pki.goog/ 能够提供低版本安卓兼容。而且 Google 自己也在用，同样是有效期 3 个月。
证书不会造成数据泄露，要么是服务器软件漏洞（跟证书无关），要么是其他公司乱签证书（跟购买证书的这个公司无关），从来没有赔付的先例。

@esee 第 1 条可以在服务器打开 OCSP Stapling 来解决，第二条可以用同样免费的 zerossl 或 google trust services 来解决

@lqs #85 哦

用 letsencrypt 一看可能就是伪造的网站，只要是商业公司或大公司都不会用这个的，个人或小公司无所谓。

1.很多内网服务器无法上网，无法访问 Let's Encrypt ，比如金融机构。
2.很多企业程序不支持 bot 机器人去更换证书，企业软件官方手册多数为手动更新证书。
3.自己写脚本会出错，手动三个月更新过于频繁。更新的时候，业务会中断，假如有 4 套业务，ssl 过期时间刚好分布在第 1-4 周，那每个周末都在更新证书。附带的监控系统也会产生大量告警。

1 、虽然支持自动签发并且能挂载脚本重启服务，但是企业侧而言，如何确保执行 acme 脚本的机器没意外？
2 、如 1 所提，支持执行挂载脚本，但是如果涉及多个云服务，同时需要部署证书，只能写脚本同步到相关的服务中。但是脚本执行出错或有意外没执行，谁负责？
3 、我对接过一个项目，国内某个大厂的，他们有些节点应该还是用旧版 JDK ，不支持 lets encrypt 新的根证书。1 年前的时候，排查了很久，因为部分请求成功部分失败，并且别人对接没这个问题就我们有。最后问他们拿到日志，然后 google 了下发现是 jdk 7 没内置对应根证书的问题。
4 、就算付费的泛域名证书，价格也不贵（相对于企业而言），并且各大云厂商都支持自动部署到相关云服务。

前阵子把我的服务器改用 lets encrypt 了. 然后发现我的 macos 应用连不上我的服务器了. 后来换回了腾讯云的免费测试证书,就恢复了.

@june4 都已经大公司加监控了，那还是买个一年期的 OV 吧，不差那点钱

几百台服务器 各种 linux windows docker 内证书 k8s-secret 甚至只能在网页里换证书的买来的系统。

三个月让我换一次我直接要死了

因为大家需求不一样。

这玩意儿本身就是一个 Trust ，有信任等级。

想像一下银行，保险，支付宝，微信也用 Let's Encrypt 。纯技术来讲，他们都能搞定。但是，这牌面……

LE 不好的地方:
1. 只有 DV ，有些特殊用途，例如 windows 驱动签名要求用 EV 证书
2. api 和证书链变更相对频繁，例如最近的变更会随机分配中间 CA 来给你的 ACME 实现上强度，也影响搞 PKP(虽然这不是什么好的实践)
3. oscp 服务器概率墙，虽然淘汰 oscp 是业界趋势，但至少 windows schannel 还在坚持这个，影响可用性
4. 证书链兼容性差些，过时系统普遍没信任 ISRG X1 根
5. 有效期短，这个楼上说了，你想下如果给甲方换一次证书要重重审批的你干不干

@zjsxwc 我只是说我们公司产品的问题，并没有想把这个规则应用到其他公司/场景。 但是就我个人而言， 如果我来做决策， 我是不会从一个用 Let's Encrypt 证书的公司购买软件产品的。

不是自己的生意，不要给自己找麻烦，省的钱进不了腰包，出事全是锅

这话问的很初级，格局也很小。
类似
windows iis 也能用，为什么要用 nginx 呢；
java 又不是不能用，为什么搞 php 、go 、c++等各种语言呢；
各种巴拉巴拉。

这个免费证书是过不了密评的
有些要求证书提供商是在白名单里的
自用就无所谓了

技术都是一样的，只比 DV 的话没有区别。OV 和 EV 的钱实际上是花钱做审计。