在当今的互联网时代，https 已经成为了网站安全的重要标志之一。然而，对于“https 必须用证书吗”这个问题，却存在着一些争议和误解。

让我们来了解一下 https 的基本原理。https 是通过在 HTTP 协议的基础上添加了 SSL/TLS 加密层来实现安全传输的。它使用证书来验证网站的身份，并确保数据在传输过程中不被窃取、篡改或伪造。

证书是由受信任的证书颁发机构（CA）签发的，其中包含了网站的公钥、网站所有者的信息以及 CA 的签名等内容。当用户访问一个 https 网站时，浏览器会验证网站的证书是否合法有效。如果证书合法，浏览器会与网站建立安全连接，并使用证书中的公钥对数据进行加密和解密。

那么，https 必须用证书吗？答案是不一定。在某些情况下，https 可以不使用证书来实现安全传输。例如，在本地开发环境中，为了方便调试和测试，我们可以使用自签名证书来实现 https 连接。自签名证书是由网站管理员自己生成的，虽然它没有经过 CA 的签名验证，但在本地环境中可以满足基本的安全需求。

然而，在生产环境中，https 必须使用由受信任的 CA 签发的证书。这是因为自签名证书存在一定的安全风险，例如证书可能被伪造、证书链可能不完整等。如果使用自签名证书，用户的浏览器可能会提示“此网站的证书不受信任”，从而影响用户的使用体验和网站的信誉。

使用受信任的 CA 签发的证书还可以提供其他的安全保障，例如证书的有效期管理、证书的吊销机制等。这些机制可以确保证书的合法性和有效性，防止证书被滥用或过期。

那么，如何获取受信任的 CA 签发的证书呢？通常，网站管理员可以向知名的 CA 机构申请证书，例如 VeriSign、GeoTrust、Symantec 等。在申请证书时，需要提供网站的相关信息，并按照 CA 机构的要求进行审核和验证。审核通过后，CA 机构会签发证书，并将证书安装到网站的服务器上。

https 不一定必须使用证书，但在生产环境中，为了确保网站的安全和用户的信任，建议使用受信任的 CA 签发的证书。证书的使用可以提供加密传输、身份验证、安全保障等功能，对于保护用户的隐私和数据安全具有重要意义。同时，网站管理员也应该定期更新证书，确保证书的合法性和有效性。