证书到期未及时更新

证书到期未及时更新会导致什么后果？

证书到期未及时更新将直接导致网站 HTTPS 连接中断，浏览器显示“不安全”警告，用户无法正常访问。现代主流浏览器（Chrome、Edge、Firefox）会在证书过期后立即阻止页面加载，部分敏感操作（如表单提交、支付跳转）会被强制拦截。这不是兼容性问题，而是 TLS 协议层的硬性拒绝——客户端在 CertificateVerify 阶段即终止握手。

SSL证书有效期已从最长5年压缩至398天（CA/B Forum BR 2.8.1），这意味着所有公开信任的SSL证书必须在13个月内完成续期。逾期未更新不仅影响用户体验，还会触发搜索引擎降权，因为 Google 明确将 HTTPS 作为排名信号之一。

证书验证与浏览器信任机制

TLS 握手阶段的证书时效检查

浏览器在 TLS 1.2 / TLS 1.3 握手过程中，会严格校验服务器返回证书的 notBefore 和 notAfter 时间戳。该检查独立于操作系统时间同步状态，但依赖本地系统时钟精度——若偏差超过90秒，可能误判有效证书为过期。真实运维中曾遇到某 IDC 服务器 NTP 服务异常，导致批量站点在凌晨3:17集体报错“NET::ERR_CERT_DATE_INVALID”，持续11分钟。

证书链完整性对续期的影响

续期不是简单替换文件。若新证书未附带完整中间 CA 证书（如 Sectigo 或 Digicert 的中间链），即使私钥匹配、域名正确，Chrome 110+ 仍会因无法构建信任路径而显示“您的连接不是私密连接”。我们建议每次更新后使用 SSL证书链下载 工具验证链深度，并比对根证书哈希是否匹配 Mozilla CA Store 列表。

工程实践中的续期风险与应对

生产环境中最常见的续期失败场景是自动化脚本未覆盖证书链合并逻辑。例如 Let’s Encrypt 的 certbot renew 默认只更新 fullchain.pem，但 Nginx 若配置了 ssl_certificate 指向 cert.pem 而非 fullchain.pem，重启后实际加载的是无中间链的证书。这种配置在证书有效期内无异常，一旦续期就立即触发告警。

另一个隐蔽问题是通配符SSL证书更新后子域名 DNS 解析未刷新。比如 *.api.example.com 续期后，v2.api.example.com 因本地 DNS 缓存仍指向旧 IP，而新服务器未部署对应证书，导致 TLS 握手失败。此时需同步执行 DNS解析记录查询 与证书部署验证。

如何避免证书到期事故？

真正可靠的方案不是依赖人工提醒，而是建立证书生命周期监控体系。我们在多个金融客户环境部署过基于 Prometheus + Blackbox Exporter 的证书过期探测器，每4小时扫描全站证书的 notAfter 字段，当剩余有效期＜15天时自动创建 Jira 工单并触发企业微信告警。同时强制所有 SSL证书申请走 免费ssl申请 流程——因为免费证书天然具备自动续期能力，且 TopSSL 提供 API 对接能力，可嵌入 CI/CD 流水线。

对于已发生过期的紧急恢复，切勿尝试“临时启用自签名证书”。这会导致整个域名被浏览器加入错误缓存（HSTS Preload List 影响除外），正确做法是立即从原CA渠道重新申请，使用原有私钥（如仍安全保存），并确保新证书包含完整中间链。DV SSL证书最快可在3分钟内签发，OV SSL证书需人工审核但通常4小时内完成。

常见问题

Q：证书过期后还能续订吗？
A：不能。所有主流CA（包括 Sectigo、Digicert、锐安信）均要求在证书到期前完成续订操作。过期证书视为无效密钥材料，系统自动关闭续订入口。

Q：通配符SSL证书更新会影响已配置的子域名吗？
A：只要新证书域名匹配（如 *.example.com 仍覆盖 api.example.com、cdn.example.com），且部署过程无中断，用户无感知。但需注意：通配符证书不支持二级泛域名（如 *.*.example.com）。

Q：能否延长现有SSL证书的有效期？
A：不可以。RFC 5280 明确规定证书有效期由签发时的 notAfter 字段固化，任何修改都将使签名失效。唯一合法方式是重新申请一张新证书。