HTTPS 证书过期是最常见也最容易被低估的公开故障。很多团队以为配置了自动续期就结束了,但真正的风险通常出现在域名账号变更、DNS 验证失效、服务器权限缺失、反向代理改动或多节点部署不一致之后。

证书续期从验证、签发、部署到监控的闭环
证书续期是一条闭环:验证、签发、部署、监控和告警。

先确认域名由谁控制

证书续期依赖域名验证。DNS 账号如果属于离职人员、供应商个人邮箱或临时注册商,自动化就没有长期保障。域名所有权、解析权限、备用联系人和变更记录应该属于客户可接管的资产清单。

HTTP 验证和 DNS 验证适用场景不同

HTTP 验证适合单站点和简单部署,但在 CDN、反向代理、多源站和静态站点场景下可能被路径规则影响。DNS 验证适合通配符和多节点,但要求解析权限可靠。选择哪种方式,不应只看配置速度,而要看未来迁移和恢复。

证书签发成功不等于部署成功

证书可能签发在某台服务器上,却没有同步到反向代理;也可能只更新主域名,遗漏子域名;还可能由于中间证书链错误,在部分旧设备上失败。验收应从外部访问检查证书、域名、有效期、链路和重定向。

风险点检查方式记录内容
域名账号确认注册商和权限所有者、联系人、备用方式
验证方式HTTP 或 DNS 测试依赖路径和解析记录
部署位置外部访问证书详情节点、代理、证书链
告警提前检测有效期阈值、通知人、处理动作

续期要纳入运维节奏

建议至少在到期前 30 天产生提醒,到期前 14 天确认续期结果,到期前 7 天升级为高优先级。证书故障对用户非常直接,应该像备份和监控一样纳入固定检查,而不是临时想起来再处理。