免费SSL证书可以一直续期吗?
可以,但必须满足技术、策略与运维三重条件。当前主流免费SSL证书(如 Let's Encrypt、锐安信 sslTrus 免费版)支持无限次自动续期,前提是域名控制权持续有效、验证通道畅通、且未触发CA机构的签发频率限制。这不是“永久有效”,而是“可持续保障”的HTTPS加密能力。
技术机制:续期 ≠ 证书不变,而是密钥轮换与信任链刷新
免费SSL证书续期不是简单复制旧证书,而是一次完整的TLS凭证生命周期操作:重新生成密钥对(或复用)、提交新CSR、通过DCV(域控制验证)确认所有权、由CA签发全新证书+完整证书链。整个过程由ACME协议驱动,90天有效期强制要求每3个月内完成一次密钥轮换,这本身就是前向保密(Forward Secrecy)的关键实践。浏览器不关心“是否同一张证书”,只校验当前证书是否在有效期内、签名可被信任根验证、域名匹配且未吊销。
TLS握手中的证书刷新逻辑
客户端发起TLS 1.2/1.3连接时,服务器返回的是当前部署的证书链。只要续期后正确安装了新证书+中间证书(如 SSL证书链下载 工具可获取),且私钥未泄露,浏览器即视为合法连接。实际生产中我们曾维护过连续47个月无中断的Let’s Encrypt站点,其底层依赖的是acme.sh脚本每日检测+提前72小时自动续签的机制,而非人工干预。
CA策略限制:不是技术不能,而是规则不允许
根据CA/Browser Forum Baseline Requirements v2.8第4.9.1条,所有公开信任的DV证书最长有效期为90天;Sectigo自2024年起对免费试用证书实施单域名每月最多5次签发限制;锐安信 sslTrus 免费版则要求DNS验证记录存活时间≥600秒,超时即失败。这意味着:理论上可无限续,但实践中若频繁重签(如因配置错误反复失败),可能被临时限流。我们建议将续期窗口设为「到期前15天」,避开月末高峰时段。
工程实践经验:自动续期不是开箱即用,需三步落地
在Nginx + Ubuntu 22.04生产环境实测,仅安装certbot无法保证高可用续期:
第一,需systemd timer替代crontab以支持依赖服务就绪判断;
第二,reload指令必须绑定到nginx -t语法检查成功后执行,否则配置错误会导致全站502;
第三,日志需分离记录(/var/log/letsencrypt/renewal.log),便于排查DNS解析超时等隐蔽问题。
某客户曾因阿里云DNSPod的API调用配额耗尽,导致连续3次续期失败却无告警,最终证书过期2小时。
浏览器安全连接的实际表现
即使证书成功续期,若未同步部署中间证书,Chrome 120+会显示“您的连接不是私密连接”(NET::ERR_CERT_AUTHORITY_INVALID)。这是因为现代浏览器已弃用证书链回溯(AIA fetching),完全依赖服务器主动推送完整链。TopSSL提供的证书链下载工具可一键获取适配各品牌的中间证书组合,避免此类人为疏漏。
| 项目 | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 续期触发时机 | CA/B Forum BR 4.9.1 | 设为证书到期前12–15天,避开周末及节假日 |
| 验证方式选择 | RFC 8555 §7.4 | 生产环境优先DNS验证;测试环境可用HTTP-01(需确保80端口开放) |
| 证书部署检查项 | PCI DSS 4.1 | 验证三项:域名匹配、OCSP Stapling启用、TLS 1.2+协议支持 |
常见问题
Q:免费SSL证书续期后,原来的老证书还能用吗? A:技术上仍可被客户端接受直至过期,但存在严重风险——若私钥已泄露,攻击者可用旧证书中间人劫持。必须在续期成功后立即从服务器移除旧证书文件。
Q:多个子域名共用一张通配符证书,续期会影响其他业务吗? A:不会。通配符SSL证书续期是原子操作,新证书部署期间旧证书持续生效,零停机切换。但需注意:*.api.example.com无法覆盖 api.example.com,必须显式包含主域名。
Q:企业网站能长期依赖免费SSL证书续期吗? A:技术可行,但商业不推荐。免费证书仅支持DV验证,无法展示企业名称(OV/EV),在金融、政务类场景中用户信任度显著低于带组织信息的证书。建议核心业务选用OV SSL证书或EV SSL证书。
京公网安备11010502031690号
网站经营企业工商营业执照
