網頁新知
SSL憑證效期縮短怎麼辦?免費SSL跟付費有什麼差別?
最後更新日:2026.04.09
目次
SSL效期逐年縮短,2029年將縮減到47天
2026.03月以前所核發的SSL憑證效期多為398天一期,就算是一次採購3年、5年,也是要每398天要手動驗證一次。在2026.03月以後,憑證效期硬生生被縮短到200天,2027年縮短到100天,到2029年只剩下47天。
也就是採購1年期的SSL憑證,1年要驗證、安裝8次,繁複手動的工作變成是網管維運人員的噩夢。
| 效期變動時間點 | 最長效期 | 每年更新次數(約) |
|---|---|---|
| 2026年3月以前 | 398天 | 1次 |
| 2026年3月以後 | 200天 | 2次 |
| 2027年 | 100天 | 4次 |
| 2029年 | 47天 | 8次 |
SSL效期是誰決定縮短的?為什麼要縮短效期?
SSL的效期是由 CA/Browser Forum(憑證機構/瀏覽器論壇)決定,同時和 Apple、Google、Mozilla、Microsoft 等主流瀏覽器業者達成共識才開始推動。縮短目的是為了提升網站安全、降低憑證被駭風險。由於AI技術的普及以及未來量子運算的發展,SSL憑證很可能在數月或是數周就能被破解、被駭。
如果網站的SSL私鑰被駭的話,駭客可以側錄網站傳輸的所有訊息,如信用卡號、密碼等,原本透過SSL加密起來的資料都能被還原成原本的文字。
因此國際協會們才決定,既然SSL會被破解的話,那就讓大家頻繁更換SSL吧!,因此有了47天憑證的故事出現。
SSL憑證類型:DV、OV、EV差在哪?
選購SSL憑證前,首先要了解三種憑證類型的差異:DV(Domain Validation,域名驗證)
- 驗證範圍:只確認申請者擁有該網域
- 核發時間:幾分鐘內自動完成
- 顯示方式:瀏覽器顯示「安全」鎖頭,但不顯示公司名稱
- 適用對象:部落格、小型網站、開發環境
- 代表廠商:Let's Encrypt、ZeroSSL(免費即為DV)
OV(Organization Validation,組織驗證)
- 驗證範圍:確認網域擁有者+公司/組織真實存在
- 核發時間:約1~5個工作天(需人工審查)
- 顯示方式:憑證詳細資料中可見公司名稱
- 適用對象:企業官網、B2B平台、需要提升品牌信任度的網站
- 代表廠商:DigiCert、Sectigo、TWCA
EV(Extended Validation,延伸驗證)
- 驗證範圍:最嚴格,包含公司法律地位、營業地址、電話等完整審查
- 核發時間:約5~14個工作天
- 顯示方式:部分瀏覽器(如舊版Chrome)曾顯示綠色公司名稱;現代瀏覽器已統一顯示鎖頭,但點開憑證可見EV資訊
- 適用對象:銀行、金融機構、電商、政府機關
- 代表廠商:DigiCert、GlobalSign、TWCA
如何因應SSL效期縮短的問題?ACME自動續約協定是最佳解之一
雖然縮短SSL效期是立意良善,但手動更新SSL卻變成了企業網管人員的噩夢。ACME自動化續約憑證的機制導入,勢必變成唯一解。
ACME (全稱 Automated Certificate Management Environment) 是一套讓網站伺服器與憑證頒發機構 (CA) 之間能「自動溝通」的通訊協定,遵循 RFC 8555 標準。整個流程包含:
- 申請憑證:伺服器向CA發送請求
- 網域驗證:CA透過HTTP或DNS驗證你確實擁有該網域
- 簽發憑證:驗證通過後,CA自動核發憑證
- 自動續期:憑證到期前,ACME客戶端自動重複上述流程
ACME自動核發憑證+安裝機制需要搭配主機環境才能生效,不是跟這些廠商申請SSL就能免手動安裝喔。
ACME只是幫忙自動核發憑證,跟自動安裝是兩件不同的事情。目前市面上主機商搭配的多是Let's Encrypt這家老牌的ACME廠商。
目前常見具有ACME的SSL廠商,從免費開源到企業級付費方案都有
免費的ACME SSL提供商
- Let's Encrypt:最知名的免費ACME CA,提供90天有效期的域名驗證(DV)憑證,支援Certbot、acme.sh等客戶端自動申請與續期 。
- ZeroSSL:免費方案支援最多3個90天憑證(或無限透過ACME),驗證方式包括HTTP、DNS、Email,適合初學者使用圖形介面 。
- Google Trust Services (GTS):需要使用Google帳號申請,適合Google Cloud用戶,具全球基礎設施加速與高信任度。
- Actalis:歐洲CA(Aruba集團),提供單一主機(Single Domain)免費DV憑證,作為Let's Encrypt的備援選擇,強調合規性與自動化 。
付費的ACME SSL提供商
- DigiCert:企業級首選,信任度最高,但費用高。每年憑證 US$372起。費用來源:DigiCert官網
- Sectigo:價格相對親民,主機商愛用。每年費用 USD$12.95起。費用來源:Secitgo Store
- GlobalSign:老牌 CA,企業廣泛使用。每年費用 HKD$2149 起。費用來源:GlobalSign Shop
- Entrust:政府與金融機構常用。每年費用 USD $199起。費用來源:TrustRadius
免費SSL和付費SSL之間的差異,免費SSL其實沒有不安全
免費SSL所使用的加密技術與付費的SSL並無太大差異,都可達到網路封包加密傳輸的目的。更重要的不管是付費或是免費的SSL,Google Chrome都會在網址前列有「安全」的綠色標誌,這讓免費的SSL又有了更大的推廣利基。
那麼到底SSL廠商之間有甚麼差異呢?下表列給您參考:
| 國外付費 SSL,如Setigo、GlobalSign | 國內付費 SSL,如TWCA | 免費 SSL | |
|---|---|---|---|
| 憑證類型 | DV / OV / EV | DV / OV / EV | DV |
| 企業身份驗證 | OV/EV 可顯示公司名稱 | OV/EV 可顯示公司名稱 | 無企業驗證機制 |
| SLA保證 | 有正式 SLA | 有正式 SLA | 無 |
| 賠償機制 | 可向總公司所在地(美國或其他發證國家)法院提出賠償訴訟 | 可向總公司所在地(台灣)法院提出賠償訴訟 | 沒有賠償規範 |
| 賠償金額 | USD 10,000 ~ USD 500,000,依個案與購買等級認定 | 依個案由臺灣網路認證股份有限公司(TWCA)認定後賠償 | 無 |
| 販售價格 | NTD 700 ~ 7,000不等 | NTD 8,000 起 | 免費 |
| 驗證差異 | 要求線上的網域驗證&組織驗證 驗證嚴謹度較寬鬆,不適用於安全性需求較高的使用者 |
要求完整書面的網域驗證&組織驗證 驗證嚴謹度較高,適用於安全性需求較高的使用者 |
僅要求網域驗證,未要求組織驗證 |
| 適用對象 | 無大量個資或是隱密資料的中小型網站 | 有大量個資或是隱密資料的網站 | 無大量個資或是隱密資料的中小型網站 |
| 核發時間 | 5-7工作天 | 5-7工作天 | 立即生效 |
由上表可知,其實付費與免費的SSL主要的差異在賠償機制,付費的SSL可向發證廠商索取賠償,但免費的SSL無賠償機制。
而國外的SSL供應廠商會有國際訴訟的流程困擾,因此小編建議若真的有隱密資料需要加密的話,還是向國內的SSL申請會比較有保障。
但如果只是想要有個綠色安全的標章在google瀏覽器前面,加一點點SEO的分數,那就可以使用Let's Encrypt 免費 SSL喔!
該怎麼選擇SSL?
| 網站類型 | 建議選擇 | 理由 |
|---|---|---|
| 個人部落格、作品集 | Let's Encrypt(免費) | 安全加密足夠,無需額外費用 |
| 中小企業官網 | Let's Encrypt 或 Sectigo DV | 節省成本,基本信任感 |
| 電商網站 | Sectigo / GlobalSign OV | 顯示公司名稱,提升顧客信任 |
| 金融、醫療、政府 | TWCA OV/EV 或 DigiCert EV | 高規格驗證、本地賠償保障、法規合規 |
| 多個子網域 | 支援 Wildcard 的 CA + DNS-01 驗證 | 一張憑證涵蓋所有子網域 |
| 自架伺服器(Docker/VPS) | acme.sh + Let's Encrypt | 輕量、自動化、完全免費 |
延伸閱讀:SSL/TLS憑證的類型 (DV、OV、EV)
延伸閱讀:什麼是 Let's Encrypt 免費SSL?
-
10Dec.1907Apr.2027Sep.2324Nov.2421Nov.24
