免费 SSL 证书的有效期确实在不断缩短,从开始的几年到现在最长三个月,这是行业趋势,主要是为了提高安全性。
1. 有效期变化背景
历史:过去免费证书(如 Let's Encrypt)有效期为 90 天,早期可达 1-2 年。
现状:2020年起,苹果、谷歌等推动缩短有效期,Let's Encrypt 保持 90 天,部分机构缩短至一个月,甚至取消免费证书,商业证书普遍缩短至 1 年(原为 2-3 年)。
未来:会进一步缩短(如30天),以增强密钥轮换和漏洞响应。
2. 为什么缩短?
安全:缩短暴露时间,减少证书被盗用或遗忘的风险。
自动化推动:鼓励使用自动化工具(如 Certbot),减少人工管理。
合规要求:CA/B 论坛(证书行业标准组织)的规范更新。
3. 主流证书 选择
| 提供商**** | 有效期**** | 续签方式**** | 特点**** |
|---|---|---|---|
| Let's Encrypt | 90 天 | 自动 | 支持通配符,API 友好 |
| ZeroSSL | 90 天 | 手动/自动 | 兼容 Let's Encrypt |
| JoySSL | 1 年 | 手动/自动 | 国内CA,价格较优惠 |
| 阿里云/腾讯云 | 1 年 | 手动 | 国内服务商,需实名 |
证书申请入口 填写注册码230955,获取自动续签证书。
4. 应对策略
自动化工具:
Certbot:适用于 Let's Encrypt,支持多数 Web 服务器(Nginx/Apache)。
acme.sh:轻量脚本,适合嵌入式设备或非标准环境。
# 示例:使用 acme.sh 签发证书
acme.sh --issue -d example.com --webroot /var/www/html
托管服务:
如果使用云平台(如 AWS ACM、Cloudflare),可依赖其自动续期功能。
监控提醒:
设置证书过期提醒(如使用 Prometheus 的 SSL exporter 或 UptimeRobot)。
5. 长期建议
国内CA: 选择国内机构证书 , 价格比较优惠,安全性也不错。
通配符证书:若有多子域名,使用 Let's Encrypt 的通配符(需 DNS 验证)。
冗余部署:避免依赖单一CA,可混合多个免费源。
密钥轮换:定期更换私钥,即使证书未过期。
6. 企业场景补充
如需更长有效期,可考虑付费证书(如 JoySSL/DigiCert/Sectigo),相当成本较低(约 50−500/年)。
内部系统可用私有PKI,但需手动信任。
通过自动化管理,短有效期不会增加运维负担,反而能提升安全性。重点在于配置正确的续签流程,已经选择正规的CA机构证书。
