【導讀】免費多域名證書不是萬能膠布，也不是永久免檢通行證。它適合測試環境、中小官網、內部管理系統等低風險場景，但在支付跳轉頁或金融后臺必須謹慎評估。

什么是免費多域名證書？它和普通單域有什么區別？
免費多域名證書本質仍是DV型SSL證書，核心差異在于「Subject Alternative Name」（簡稱 SAN）字段容量更大。

- 單域名證書：只能寫 example.com 或 www.example.com 中的一個；
- 免費多域名證書：可在同一張證書里列出多個FQDN，比如 api.example.com、shop.example.com、admin.testsite.net；
- 注意：*.example.com 這種通配符屬于單獨類別，絕大多數免費CA不允許與常規域名混在同一張證書中。
目前主流開源ACME客戶端（如 acme.sh、certbot）默認支持最大100個SAN條目，超出需手動分割申請或多賬戶協同。

哪些情況最適合用免費多域名證書？
我們梳理了三類高性價比應用場景：

- 開發聯調階段：前端Vue工程啟用了dev-server代理到多個mock API地址，一次性綁齊 localhost、127.0.0.1 及各模擬子域；
- SaaS租戶門戶：每個客戶分配 sub.tenant-a.com/sub.tenant-b.com 形式的二級域名，初期幾十家試運行期無需逐個買證；
- 教育/政府臨時活動站群：運動會專題、招生報名通道、政策宣講微站等多個短期項目共享一套Nginx反向代理出口。
上述情形共同特點是生命周期短、訪問量有限、無交易行為，正好契合免費產品的設計初衷。

別踩這幾個隱藏雷區
看似省錢的背后藏著幾處容易忽略的風險點：

- ACME頻率限制嚴苛：Let’s Encrypt規定每臺注冊郵箱每月最多申請50張證書，一旦超限將封禁3小時；
- DNS驗證失效快：若某個綁定域名DNS記錄被意外清除，整張證書將在下次續訂時報錯失敗，影響其余有效域名；
- 不支持OCSP Must-Staple標記：意味著瀏覽器無法強制依賴實時吊銷狀態查詢，弱化抗泄露能力；
- 缺乏專屬客服通道：遇到CAA策略沖突或CNAME繞過異常時，僅能查文檔+社區提問，響應周期不確定。
因此，凡涉及用戶登錄態持久保存、訂單提交回調URL、第三方OAuth授權回調地址的服務，都不建議長期依賴免費多域名證書承載。

怎樣科學規劃你的免費多域名證書使用節奏？
要想既節省預算又保障穩定，關鍵是做好三點統籌：

提前歸集所有待保護域名清單，剔除已廢棄或即將遷移的老路徑；
按功能屬性劃分組別（如API組、前臺展示組、管理后臺組），每組各自申請專用證書而非一股腦塞滿上限；
設定自動巡檢機制：每周掃描一次證書剩余天數 + 各域名HTTP可達性 + OCSP響應碼是否為200；發現預警信號立刻人工介入干預。
另外強烈建議開啟Auto-Renewal并搭配郵件告警通知，防止因crontab失靈導致凌晨大面積HTTPS中斷。

有沒有更好的過渡方案？
如果你正處于快速增長期，面臨如下狀況：

- 年度新增子域數量持續＞30個；
- 已開始接入支付寶/微信JS-SDK等對外開放能力；
- 法務提出需提供季度滲透測試報告佐證傳輸層加固措施；
那么可以考慮漸進式升級路線：
第一階段繼續沿用免費多域名證書支撐非核心鏈路；
第二階段為核心業務線采購OV級別多域名證書（支持公司名稱顯示+更高保險額度）；
第三階段構建自有PKI體系，實現內網服務間mTLS通信全覆蓋。
這樣既能控住前期投入，又能預留合規躍遷空間。