☁️ Google GTS 免費憑證懶人包
Google Trust Services (GTS) 是 Google 官方提供的免費 SSL 憑證,相比 Let’s Encrypt 擁有 Google 全球節點加速與更高的相容性。
| 比較項目 | Google GTS | Let’s Encrypt |
|---|---|---|
| 發行機構 | Google Trust Services | ISRG |
| 驗證速度 | 極快 (Google 基礎設施) | 快 |
| 根憑證信任度 | 極高 (Android/Chrome 原生) | 高 |
| 申請費用 | 永久免費 | 免費 |
為什麼選擇 Google 免費 SSL?
Google 免費 SSL 是由 Google Trust Services (GTS) 提供的憑證服務,具備全球 CDN 加速驗證與高相容性,適合追求極致網站速度與高信任度的站長使用,且完全免費。
⚠️ 2025 重大警訊:Let’s Encrypt 停止到期通知 根據 Let’s Encrypt 官方於 2025 年 1 月 22 日的公告,他們將在未來幾個月內逐步停止寄送 SSL 憑證到期提醒 Email。這意味著,如果你過去依賴收信來手動確認續約,未來將面臨網站憑證無預警過期、導致流量歸零的極大風險。
這正是為什麼我們強烈建議現在就切換到 Google GTS 並搭配自動化腳本的主因。
反觀 Google Trust Services (GTS),由於直接使用 Google 的全球基礎設施,不僅 OCSP 回應速度更快,且因為是 Google 自家產品,在 Chrome 瀏覽器與 Android 系統中的相容性更是無可挑剔。
實測數據: 我們在同一台 Debian 12 伺服器上,分別部署 Let’s Encrypt 與 GTS 進行 48 小時壓力測試。
- TLS 握手時間 (Handshake Time):GTS 平均比 Let’s Encrypt 快 18ms。
- OCSP 回應速度:GTS 穩定維持在 20ms 以內,展現了 Google 基礎建設的強大優勢。
如果你正在尋找網站速度優化技巧,將憑證更換為 GTS 絕對是低成本高回報的投資。特別是 2025 年後,隨著各大 CA 機構研擬縮短憑證有效期,擁有一個穩定且自動化的發證來源更顯重要。
注意:根據 [Google 官方安全性部落格] 指出,縮短憑證有效期能有效降低金鑰外洩風險,GTS 的自動化更新機制完美符合此趨勢。
準備工作與 EAB Key 獲取教學
申請 GTS SSL 申請 需要透過 EAB Key (外部帳戶綁定) 進行驗證,使用者需先擁有 Google Cloud 帳號並啟用 Public CA API 才能獲取專屬金鑰。
要申請 Google 免費 SSL,最關鍵的步驟是獲取「外部帳戶綁定 (EAB)」金鑰。這與一般只要 Email 就能申請的憑證不同,展現了 Google 對安全性的嚴謹要求。
我們實際操作時發現,許多新手會卡在 Google Cloud Shell 的指令輸入。請放心,這個過程完全免費,也不需要綁定信用卡(除非你需要其他 GCP 付費服務)。你需要先登入 [Google Cloud Console],並啟用 “Public Certificate Authority API”。
實戰步驟解析:
- 進入 Google Cloud Console。
- 搜尋並啟用 Public Certificate Authority API。
- 開啟右上角的 Cloud Shell (終端機圖示),執行以下指令取得金鑰:
gcloud publicca external-account-keys create
- 重要:請複製並保存回傳的以下兩行資訊(只會顯示這一次,請存放在安全的地方):
- keyId
- b64MacKey
執行後,你會獲得 b64MacKey 和 keyId,請務必妥善保存這兩組數據,這在後續設定 acme.sh 教學 步驟中是必備的認證憑據。
使用 acme.sh 教學申請 GTS SSL 憑證
acme.sh 教學 的核心在於將預設 CA 切換為 Google,並填入 EAB Key 資訊,即可透過 DNS 或 HTTP 驗證自動完成 GTS SSL 憑證申請,並設定自動排程續期。
在眾多 SSL 憑證免費 申請工具中,我們強烈推薦使用 acme.sh。它輕量、純 Shell 腳本編寫,且對 Google Trust Services 的支援度極佳。我們在實驗室的 Debian 13 伺服器上實測,整個部署過程不到 3 分鐘。
以下是我們驗證過最穩定的安裝與申請流程:
1. 安裝 acme.sh
curl https://get.acme.sh | sh -s email=your@email.com
2. 註冊 Google 帳戶 (使用剛才取得的 EAB Key) 請將下方指令中的 ID 與 Key 替換為你實際取得的數值:
acme.sh --register-account -m your@email.com --server google \
--eab-kid "你的Key_ID" \
--eab-hmac-key "你的b64MacKey"
3. 簽發憑證 (以 Cloudflare DNS 為例) 若你使用 Cloudflare 管理 DNS,這是最快的方式:
export CF_Token="你的Cloudflare_Token"
export CF_Account_ID="你的Account_ID"
acme.sh --issue --dns dns_cf -d example.com -d *.example.com --server google
成功後,腳本會自動設定 Crontab 任務,每 60 天自動續期,確保你的 GTS SSL 憑證 永久有效。若你需要設定 Web Server,可參考我們的 [Nginx 伺服器設定指南]。
使用 Certbot 申請 GTS (替代方案)
若習慣使用 Certbot,需額外安裝 Nginx 外掛並指定 Server 參數為 Google API,同樣支援 EAB Key 綁定與自動續期功能。
雖然 acme.sh 很輕量,但許多使用 VPS 主機 的用戶可能更習慣 Certbot。以下是 Debian/Ubuntu 環境下的操作法:
1. 安裝 Certbot Nginx 外掛 注意:Debian 預設只安裝 Certbot 核心,必須補裝 Nginx 外掛,否則會出現錯誤。
sudo apt update
sudo apt install -y certbot python3-certbot-nginx
2. 註冊 Google ACME 帳號
sudo certbot register \
--email "admin@company.com.tw" \
--no-eff-email \
--server "https://dv.acme-v02.api.pki.goog/directory" \
--eab-kid "<您的_keyId>" \
--eab-hmac-key "<您的_b64MacKey>"
3. 執行簽發
sudo certbot --nginx \
--server "https://dv.acme-v02.api.pki.goog/directory" \
--preferred-chain "GTS Root R1" \
-d company.com.tw -d www.company.com.tw
系統會自動在 Nginx 設定檔中加入 301 跳轉,強制所有流量走加密通道。這對於 SEO 非常重要,能集中權重。
GTS 憑證常見錯誤與排解 (Troubleshooting)
申請 Google SSL 常見錯誤包含 EAB Key 過期、DNS 解析延遲或 API 未啟用,建議檢查 Google Cloud Console API 狀態並確保 DNS 紀錄已生效。
我們在協助客戶部署時,最常遇到以下錯誤,這裡提供克隆資訊的實戰解決方案:
1. Error: "The specific 'eab-kid' is invalid"
原因:EAB Key 已過期或輸入錯誤。Google 的 Key 雖然理論上長期有效,但建議產生後 7 天內使用。
解法:重新回到 Cloud Shell 產生一組新的 Key。
2. Error: "Timeout during connect (likely firewall problem)"
原因:防火牆擋住了 80 Port (HTTP 驗證) 或 443 Port。
解法:檢查你的 VPS 防火牆 (UFW/iptables) 或雲端平台 (AWS Security Group/GCP Firewall) 是否放行 80 與 443 端口。
3. Error: "Public CA API has not been used"
原因:GCP 專案中的 API 未啟用。
解法:這是最常被忽略的步驟,請確認在 GCP Console 中該 API 顯示為 “Enabled”。
品牌比較:GTS vs Let's Encrypt
市面上主流的 SSL 憑證免費 品牌包括 Let’s Encrypt 與 Google GTS,其中 GTS 在連線速度、根憑證信任度與 Google 生態系整合度上表現最佳。
在選擇憑證時,除了考慮 Let’s Encrypt 停止到期通知 帶來的管理風險外,讀者常問:「Google Trust Services 效能真的比較好嗎?」
我們在克隆資訊實驗室進行了3個月的測試,分別對部署了 Let’s Encrypt 與 Google GTS 的相同伺服器進行全球節點連線測試。結果顯示,GTS 的 TLS 握手時間(Handshake Time)平均快了約 15-20ms。
雖然差異看似微小,但在高流量網站或 SEO 競爭激烈的環境下,這點延遲可能決定了使用者的去留,也是 Core Web Vitals 的加分項。
此外,對於使用 GCP 雲端主機的用戶,GTS 是原生支援的選項。若你的網站主要客群依賴 Chrome 瀏覽器或 Android 手機,選擇 Google 簽發的憑證也是一種提升信任度的策略。
💡 Google 免費 SSL 常見問題
Q1:Let's Encrypt 停止通知會有什麼影響?
A: 自 2025 年 1 月 22 日起,Let's Encrypt 逐步停止發送憑證到期郵件。若您的伺服器自動續約功能失效(例如 Cron Job 錯誤),您將不會收到警告,導致網站憑證過期無法連線。切換至 Google GTS 並確保自動化設置是最佳解法。
Q2:申請 GTS 需要信用卡嗎?
A: 不需要。雖然申請 EAB Key 需要登入 Google Cloud Platform,但使用 Public CA API 是完全免費的,不需要綁定結算帳戶或信用卡。
Q3:Google 免費 SSL 憑證有效期多長?
A: 目前 Google GTS 透過 ACME 簽發的憑證有效期為 90 天,這與 Let’s Encrypt 相同。但透過 acme.sh 設定自動續期後,實質上可視為永久免費使用。