HTTPS 證書過期是最常見也最容易被低估的公開故障。很多團隊以為配置了自動續期就結束了,但真正的風險通常出現在域名賬號變更、DNS 驗證失效、伺服器許可權缺失、反向代理改動或多節點部署不一致之後。

證書續期從驗證、簽發、部署到監控的閉環
證書續期是一條閉環:驗證、簽發、部署、監控和告警。

先確認域名由誰控制

證書續期依賴域名驗證。DNS 賬號如果屬於離職人員、供應商個人郵箱或臨時註冊商,自動化就沒有長期保障。域名所有權、解析許可權、備用聯絡人和變更記錄應該屬於客戶可接管的資產清單。

HTTP 驗證和 DNS 驗證適用場景不同

HTTP 驗證適合單站點和簡單部署,但在 CDN、反向代理、多源站和靜態站點場景下可能被路徑規則影響。DNS 驗證適合萬用字元和多節點,但要求解析許可權可靠。選擇哪種方式,不應只看配置速度,而要看未來遷移和恢復。

證書籤發成功不等於部署成功

證書可能簽發在某臺伺服器上,卻沒有同步到反向代理;也可能只更新主域名,遺漏子域名;還可能由於中間證書鏈錯誤,在部分舊裝置上失敗。驗收應從外部訪問檢查證書、域名、有效期、鏈路和重定向。

風險點檢查方式記錄內容
域名賬號確認註冊商和許可權所有者、聯絡人、備用方式
驗證方式HTTP 或 DNS 測試依賴路徑和解析記錄
部署位置外部訪問證書詳情節點、代理、證書鏈
告警提前檢測有效期閾值、通知人、處理動作

續期要納入運維節奏

建議至少在到期前 30 天產生提醒,到期前 14 天確認續期結果,到期前 7 天升級為高優先順序。證書故障對使用者非常直接,應該像備份和監控一樣納入固定檢查,而不是臨時想起來再處理。