证书已续费为何网站仍显示旧证书?
续费操作本身仅更新 CA 侧的证书有效期和签发记录,并不自动替换服务器上正在使用的证书文件。网站仍显示旧证书,本质是服务端未完成「证书热更新」——即新证书未部署、未重载服务或未生效。
常见原因包括:
• 新证书(含私钥、证书链)未上传至 Web 服务器(如 Nginx/Apache/OpenResty)配置指定路径;
• 服务器配置仍指向旧证书文件(如 ssl_certificate 和 ssl_certificate_key 指令未更新);
• 配置修改后未执行重载(nginx -s reload)或重启(systemctl restart httpd);
• CDN 或反向代理(如 Cloudflare、Nginx 入口层)缓存了旧证书,且未触发 TLS 证书刷新;
• 浏览器或客户端缓存了 OCSP 响应或 TLS 会话票据(Session Ticket),导致短暂显示旧状态(通常数分钟内自动更新)。
需要注意的情况
- 使用 ssl证书工具 可在线验证当前域名实际响应的证书指纹、有效期及链完整性,确认是否为新证书;
- 若通过 Let's Encrypt 等 ACME 自动化续期(如 certbot renew),需确保执行了
--deploy-hook或配置了 reload 命令,否则仅生成新证书但不生效; - 部分云厂商控制台(如阿里云、腾讯云)的「一键续费」仅延长订单,不触发自动部署,仍需手动下载并更新服务器配置;
- 若旧证书已过期但网站仍可访问,可能是浏览器缓存了有效 OCSP Stapling 响应,或服务端启用了 TLS 1.3 的 0-RTT + PSK 复用机制,造成临时假性正常。
京公网安备11010502031690号
网站经营企业工商营业执照
