上一篇
https证书有效期
HTTPS证书有效期通常为1-2年,具体因颁发机构政策而异,到期需及时续订
HTTPS证书有效期详解
证书有效期基础概念
HTTPS证书(SSL/TLS证书)是用于加密网站数据传输的数字凭证,由受信任的证书颁发机构(CA)签发,证书包含有效期字段,用于规定证书的合法使用时间范围。
| 项目 | 说明 |
|---|---|
| 默认有效期 | 通常为1年(部分CA支持2年或3年,但主流浏览器已限制最长有效期) |
| 生效时间 | 证书签发后立即生效 |
| 过期时间 | 证书中明确标注的截止日期(2025年1月1日) |
| 浏览器兼容性限制 | 现代浏览器要求证书剩余有效期≥12个月(部分CA已调整策略以适应此要求) |
如何查看证书有效期
通过浏览器查看
- 访问目标网站 → 点击地址栏锁图标 → 查看证书详情 → 切换到“有效期”标签页。
- 示例:Chrome浏览器会直接显示证书剩余天数。
使用命令行工具
- Linux/macOS:
openssl s_client -connect example.com:443 - Windows:
certutil -query -store My "example.com" - 输出结果中包含
Not Before(生效时间)和Not After(过期时间)。
- Linux/macOS:
证书过期的影响
| 场景 | 后果 |
|---|---|
| 浏览器提示 | 用户访问时显示“连接不安全”警告,部分浏览器直接阻止访问 |
| 服务中断 | 证书过期后,Web服务器可能拒绝HTTPS请求(取决于服务器配置) |
| SEO影响 | 搜索引擎可能降低网站排名,用户流失率增加 |
证书续订流程
提前续订时间
- 建议在证书过期前 30-60天 开始续订,避免因CA审核延迟导致服务中断。
- 自动化工具(如Certbot、Let’s Encrypt)可设置自动续订。
续订方式
- 自动续订:通过ACME协议或CA提供的自动替换功能(如DigiCert Auto-Renew)。
- 手动续订:重新生成密钥对并申请新证书,替换服务器上的旧证书。
注意事项
- 更换证书时需同步更新链证书(Intermediate CA)。
- 私钥变更可能导致原有配置失效,需同步更新服务器配置。
证书有效期缩短趋势
- 浏览器厂商政策:
Chrome、Firefox等浏览器计划逐步缩短证书最大有效期,- 2024年9月后,证书最长有效期限制为 13个月(原为39个月)。
- 目的是提升安全性,减少长期证书被滥用的风险。
相关问题与解答
问题1:如何批量检查多个域名的证书剩余有效期?
解答:
可使用开源工具如 SSLScan 或 SSLyze,通过命令行指定域名列表:
sslscan --targets=domain1.com,domain2.com --check-expiry
输出结果将显示每个域名的证书剩余天数。
问题2:通配符证书的有效期是否与普通证书不同?
解答:
通配符证书(如 .example.com)的有效期规则与普通证书一致,通常为1-2年,但需注意:
- 部分CA对通配符证书的颁发审核更严格,可能导致续订流程较长。
- 浏览器对通配符证书的剩余有效期要求相同(需≥12
