CLOUD云枢不能。阿里云的 SSL 测试证书(通常指免费或受信任的测试/演示证书)严禁在生产环境使用。
以下是具体原因及正确做法:
为什么不能用于生产环境?
-
有效期极短
测试证书通常设计为短期有效(例如 7 天、30 天或更短),一旦过期,网站将立即无法访问或出现严重的安全警告。生产环境需要长期稳定的证书(通常为 1 年)。 -
不受浏览器和操作系统信任
测试证书通常由阿里云内部 CA 签发,或者属于自签名证书,不在主流浏览器(Chrome, Safari, Edge)和操作系统的根证书信任库中。用户访问时,浏览器会直接弹出“您的连接不是私密连接”或“证书不受信任”的红色警告,导致用户流失并损害品牌信誉。 -
安全性与合规风险
测试证书可能不包含完整的域名验证(DV)或企业验证(OV/EV)流程,无法满足X_X、电商等生产环境的合规要求。此外,测试证书可能被配置为仅用于特定测试域名,若误用于生产域名,可能导致中间人攻击风险。 -
功能限制
部分测试证书可能不支持 HTTP/2、OCSP Stapling 等现代安全特性,或者在并发连接数、密钥强度上存在限制。
正确的做法
如果您需要在生产环境部署 SSL 证书,请执行以下步骤:
- 申请正式证书:
- 免费证书:通过阿里云控制台申请免费的 DV 证书(如 Let’s Encrypt 合作版),有效期通常为 1 年,完全支持生产环境且被所有主流浏览器信任。
- 付费证书:如需 OV(组织验证)或 EV(扩展验证)证书,可在阿里云市场购买,提供更高的身份背书和保险服务。
- 自动续期:对于免费证书,建议配置阿里云提供的自动续期工具(如 ACME 协议插件),避免人工操作导致过期。
- 严格区分环境:确保测试环境和生产环境使用不同的域名或独立的证书配置,防止混淆。
总结:测试证书仅用于开发、测试或临时调试场景。生产环境必须使用经过权威机构(CA)正式签发且被广泛信任的有效证书。