对于域的不同部分，可能有来自不同供应商的多个证书，甚至可能有重叠的证书。即，多个证书可用于对同一域进行身份验证。

浏览器实际上只关心特定证书是否对使用它的特定域有效，而不关心相同证书是否也可用于其他域。他们还只关心所有内容是否通过 HTTPS 提供（即没有混合内容），但不关心某些内容是否使用 EV 证书提供，而其他内容是否仅使用 DV 证书提供。

除此之外，我建议阅读Extended Validation Certificates are Dead以获得更好的意见，如果 EV 证书是否物有所值。

是的，你可以，但有一些警告。

通常，letsencrypt 证书对单个 FQDN 有效。因此，您可以为 static.example.com 创建一个仅域识别 (DV) 证书，并为您的根域创建一个 EV 识别证书。

请注意，使用通配符证书和某些多域证书时需要考虑另一个注意事项。一些 CA（包括 LetsEncrypt）可能会发布一个对根域也有效的通配符，因为 CA 可能会自动将根添加到 SAN（主题备用名称），即使您在请求证书时没有明确列出您的根域（CA 可以这样做，因为通配符证书验证方法要求您证明对域 DNS 的控制/所有权）。检查证书的 SAN 字段以确保您的证书完全符合您的预期，仅此而已。

不过，请注意一些安全注意事项，注意可能适用于所有子域的服务器设置，例如某些 Cookie 和 HSTS 配置。

这种情况有三种选择：

1. 使用通配符 ssl 证书来保护您的根及其子域，因为它对您来说仍然很容易，因为通过选项您只需为根及其子域管理一个证书，这有助于节省您的时间和金钱。
2. 如果想要根域 example.com 的 EV SSL 并且还想要保护子域 static.example.com，那么请选择Symantec EV SSL，它现在可以使用它来保护多域。（通常价格仍然很高）。
3. 如果想要根域 example.com 的 EV SSL 并且还想要保护子域 static.example.com，那么其他负担得起的选项是EV Multi Domain SSL，因为它可以帮助您为所有多个域获取 ev ssl（您将包含在SAN 类别）。意味着您的根域和子域都将受到 EV SSL 的保护。

已经确定没有技术限制：

• 您可以从不同来源购买同一域的证书。

• DV 和 EV 证书可以混合在不同的子域上，甚至可以混合在同一主机名的不同实例上，例如 Twitter。

• 通配符和多域证书可以任意组合共存于同一域中。

在他的回答中，Lie Ryan 解释了一些警告，我想稍微扩展一下，然后提供一些不直接回答问题的解决方案，但在这种情况下可能会有所帮助。这也是真正使它成为一个安全问题而不是关于服务器配置的一般问题的原因。

不仅您可以在您的域下获得 DV 证书，无论它是否已经拥有 EV 证书，任何有权访问您子域上的文档根目录的人都可以获得它的 DV 证书。使用某些第三方服务需要额外的A/AAAA记录到您的 DNS 区域是很常见的。

CAA通过记录进行行政控制

在这种情况下， RFC 6844中指定的证书颁发机构授权( CAA) 资源记录可能会变得有用。它是CA/Browser Forum 于 2017 年 9 月授权的，所以现在它终于有用了。如果您希望例如只有赛门铁克为您的域颁发证书，您需要添加 DNS 记录：

example.com.   IN   CAA    128 issue "symantec.com"

现在，您还需要为您static.example.com和该子域单独使用 Let's Encrypt，即您也不想thirdparty.example.com获得一个。CAA是从父域继承的，但新记录CAA将覆盖它。最后，issue ";"声明没有 CA 应该颁发证书。

static.example.com.      IN   CAA   128 issue "letsencrypt.org"
thirdparty.example.com.  IN   CAA   128 issue ";"

通过HTTP 公钥固定(HPKP)进行技术控制

这在技术上比 CAA 方法更强，偏执升级，但不是它的替代方案。有这个Public-Key-Pins响应标头可以列出您的证书的哈希值。

拥有你的 EV 证书的服务器可以引入你自己的static.example.comDV 证书的公钥，使浏览器既信任又不信任任何其他东西。但这也可能更加危险：

如果使用不当，HPKP 有可能会长期锁定用户！建议使用备份证书和/或固定 CA 证书。