HTTPS 证书过期是最常见也最容易被低估的公开故障。很多团队以为配置了自动续期就结束了,但真正的风险通常出现在域名账号变更、DNS 验证失效、服务器权限缺失、反向代理改动或多节点部署不一致之后。
先确认域名由谁控制
证书续期依赖域名验证。DNS 账号如果属于离职人员、供应商个人邮箱或临时注册商,自动化就没有长期保障。域名所有权、解析权限、备用联系人和变更记录应该属于客户可接管的资产清单。
HTTP 验证和 DNS 验证适用场景不同
HTTP 验证适合单站点和简单部署,但在 CDN、反向代理、多源站和静态站点场景下可能被路径规则影响。DNS 验证适合通配符和多节点,但要求解析权限可靠。选择哪种方式,不应只看配置速度,而要看未来迁移和恢复。
证书签发成功不等于部署成功
证书可能签发在某台服务器上,却没有同步到反向代理;也可能只更新主域名,遗漏子域名;还可能由于中间证书链错误,在部分旧设备上失败。验收应从外部访问检查证书、域名、有效期、链路和重定向。
| 风险点 | 检查方式 | 记录内容 |
|---|---|---|
| 域名账号 | 确认注册商和权限 | 所有者、联系人、备用方式 |
| 验证方式 | HTTP 或 DNS 测试 | 依赖路径和解析记录 |
| 部署位置 | 外部访问证书详情 | 节点、代理、证书链 |
| 告警 | 提前检测有效期 | 阈值、通知人、处理动作 |
续期要纳入运维节奏
建议至少在到期前 30 天产生提醒,到期前 14 天确认续期结果,到期前 7 天升级为高优先级。证书故障对用户非常直接,应该像备份和监控一样纳入固定检查,而不是临时想起来再处理。