使用丹麦语查看

使用德语查看

使用西班牙语查看

使用法语查看

使用希伯来语查看

使用匈牙利语查看

使用日语查看

使用韩语查看

使用巴西葡萄牙语查看

使用俄语查看

使用僧伽罗语查看

使用瑞典语查看

使用乌克兰语查看

阅读简体中文页面

使用正體中文閲讀本網頁。

上次更新时间: 2024 年 6 月 26 日 | 查看所有文档

本常见问题解答分为以下部分

• 一般问题
• 技术问题

一般问题

Let's Encrypt 提供哪些服务？

Let's Encrypt 是一个全球性的证书颁发机构 (CA)。我们让世界各地的人和组织能够获取、续订和管理 SSL/TLS 证书。我们的证书可供网站使用，以启用安全的 HTTPS 连接。

Let's Encrypt 提供域验证 (DV) 证书。我们不提供组织验证 (OV) 或扩展验证 (EV) 证书，主要是因为我们无法自动颁发这些类型的证书。

要开始使用 Let's Encrypt，请访问我们的 入门 页面。

使用 Let's Encrypt 需要付费吗？它真的免费吗？

我们不收取证书费用。Let's Encrypt 是一家非营利组织，我们的使命是通过推广 HTTPS 的广泛采用，创建一个更加安全和尊重隐私的网络。我们的服务是免费且易于使用的，以便每个网站都能部署 HTTPS。

我们需要慷慨的赞助商、资助者和个人的支持，才能在全球范围内免费提供我们的服务。如果您有兴趣支持我们，请考虑 捐赠 或 成为赞助商。

在某些情况下，集成商（例如托管提供商）会收取象征性的费用，以反映他们为提供 Let's Encrypt 证书而产生的管理和运营成本。

你们提供什么类型的支持？

Let's Encrypt 由一个小型团队运营，并依靠自动化来降低成本。因此，我们无法为我们的订户提供直接支持。但是，我们有一些很棒的支持选项。

1. 我们拥有非常有用的 文档。
2. 我们拥有非常活跃且乐于助人的 社区支持论坛。我们的社区成员非常善于回答问题，并且许多常见问题已经得到解答。

这是一个关于强大的社区支持力量的 视频，我们很喜欢。

使用 Let's Encrypt 的网站存在网络钓鱼/恶意软件/诈骗/…，我该怎么办？

我们建议向 Google 安全浏览和 Microsoft 智能屏幕程序报告此类网站，这些程序可以更有效地保护用户。以下是报告 URL

• https://safebrowsing.google.com/safebrowsing/report_badware/
• https://www.microsoft.com/en-us/wdsi/support/report-unsafe-site-guest

如果您想详细了解我们的政策和理由，请访问此链接

https://letsencrypt.openssl.ac.cn/2015/10/29/phishing-and-malware.html

技术问题

我的浏览器是否信任 Let's Encrypt 颁发的证书？

对于大多数浏览器和操作系统来说，是的。有关更多详细信息，请参阅 兼容性列表。

Let's Encrypt 是否为网站以外的任何其他内容颁发证书？

Let's Encrypt 证书是标准的域验证证书，因此您可以将它们用于任何使用域名（例如 Web 服务器、邮件服务器、FTP 服务器等等）的服务器。

电子邮件加密和代码签名需要 Let's Encrypt 不颁发的其他类型的证书。

Let's Encrypt 是否在 Let's Encrypt 的服务器上生成或存储我的证书的私钥？

不。永远不会。

私钥始终在您的服务器上生成和管理，而不是由 Let's Encrypt 证书颁发机构生成和管理。

Let's Encrypt 证书的有效期是多久？它们有效期多长时间？

我们的证书有效期为 90 天。您可以 在此了解原因。

无法调整此时间，也不存在任何例外。我们建议您每 60 天自动续订证书。

Let's Encrypt 是否会颁发组织验证 (OV) 或扩展验证 (EV) 证书？

我们没有计划颁发 OV 或 EV 证书。

我可以获得多个域名的证书（SAN 证书或 UCC 证书）吗？

是的，使用主题备用名称 (SAN) 机制，同一证书可以包含多个不同的名称。

Let's Encrypt 是否颁发通配符证书？

是的。必须通过 ACMEv2 使用 DNS-01 挑战来颁发通配符证书。有关更多技术信息，请参阅 此帖子。

我的操作系统是否有 Let's Encrypt (ACME) 客户端？

有大量的 ACME 客户端 可用。很可能您的操作系统上已存在可以正常工作的客户端。我们建议从 Certbot 开始。

我可以使用现有的私钥或证书签名请求 (CSR) 吗？

是的，但并非所有客户端都支持此功能。 Certbot 支持此功能。

我请求了证书，现在我的域名正在接收大量流量！为什么会出现这种情况？

这是正常现象，并且是预期的。在 证书颁发过程中，Let's Encrypt 将从 多个网络视角验证您对域名的控制权。验证成功后，您的证书将提交到多个 证书透明度 (CT) 日志。有关为什么要这样做，请参阅 此处。证书提交到 CT 后不久，自动 CT 爬虫将能够发现您的域名，尝试访问它，并在您的 Web 服务器日志中生成更多流量。

Let's Encrypt 使用哪些 IP 地址来验证我的 Web 服务器？

我们不会公布我们用来进行验证的 IP 地址列表，并且这些 IP 地址可能会随时更改。请注意，我们现在从 多个 IP 地址进行验证。

我成功续订了证书，但这次没有进行验证，这是怎么回事？

完成某个域的挑战后，生成的授权会缓存到您的帐户中，以便您以后再次使用。缓存的授权在验证后 30 天内有效。如果您请求的证书具有所有必需的缓存授权，则验证不会再次进行，直到相关的缓存授权过期。

为什么我的 Let's Encrypt (ACME) 客户端应该在随机时间运行？

我们要求 ACME 客户端在随机时间执行例行续订，以避免在特定时间（例如 UTC 午夜或每小时或每分钟的第一秒）出现流量高峰。如果服务过载，客户端会被要求 稍后再试，因此随机化续订时间可以帮助避免不必要的重试。

我在哪里可以了解更多关于 TLS/SSL 和 PKI 的信息？

资深安全研究员和实践者 Ivan Ristić 发布了一份配置指南，提供有关您在 设置 TLS 配置时应考虑的事项的有用信息。

为了更全面地了解背景和更详细的信息，我们推荐 防弹 TLS 和 PKI，同样由 Ristić 编写。