HTTPS 證書過期是最常見也最容易被低估的公開故障。很多團隊以為配置了自動續期就結束了,但真正的風險通常出現在域名賬號變更、DNS 驗證失效、伺服器許可權缺失、反向代理改動或多節點部署不一致之後。
先確認域名由誰控制
證書續期依賴域名驗證。DNS 賬號如果屬於離職人員、供應商個人郵箱或臨時註冊商,自動化就沒有長期保障。域名所有權、解析許可權、備用聯絡人和變更記錄應該屬於客戶可接管的資產清單。
HTTP 驗證和 DNS 驗證適用場景不同
HTTP 驗證適合單站點和簡單部署,但在 CDN、反向代理、多源站和靜態站點場景下可能被路徑規則影響。DNS 驗證適合萬用字元和多節點,但要求解析許可權可靠。選擇哪種方式,不應只看配置速度,而要看未來遷移和恢復。
證書籤發成功不等於部署成功
證書可能簽發在某臺伺服器上,卻沒有同步到反向代理;也可能只更新主域名,遺漏子域名;還可能由於中間證書鏈錯誤,在部分舊裝置上失敗。驗收應從外部訪問檢查證書、域名、有效期、鏈路和重定向。
| 風險點 | 檢查方式 | 記錄內容 |
|---|---|---|
| 域名賬號 | 確認註冊商和許可權 | 所有者、聯絡人、備用方式 |
| 驗證方式 | HTTP 或 DNS 測試 | 依賴路徑和解析記錄 |
| 部署位置 | 外部訪問證書詳情 | 節點、代理、證書鏈 |
| 告警 | 提前檢測有效期 | 閾值、通知人、處理動作 |
續期要納入運維節奏
建議至少在到期前 30 天產生提醒,到期前 14 天確認續期結果,到期前 7 天升級為高優先順序。證書故障對使用者非常直接,應該像備份和監控一樣納入固定檢查,而不是臨時想起來再處理。