2026年HTTPS证书90天有效期正式落地,站长需要做这3件事

王尘宇 站长新闻 3

2026年HTTPS证书90天有效期正式落地,站长需要做这3件事-第1张图片-王尘宇

Google在2023年就提了缩短TLS证书有效期的提案,折腾了三年,2026年6月正式落地——所有公开信任的TLS证书最长有效期从398天缩短到90天。对大部分站长来说,这不算灾难,但确实多了些麻烦。

为什么要缩短到90天?

官方的说法是减少证书被泄露后的风险窗口。假设你的私钥在发证后第10天泄露了,如果证书有效期是一年,攻击者有355天可以用;如果90天,攻击窗口就缩短到80天。逻辑上讲得通。但说实话,推动这个的另一个原因是:Let's Encrypt已经证明了短期证书的自动化管理是可行的,CA行业再也没理由说做不到。

对站长有什么影响?

如果你的证书用的是Let's Encrypt且自动续期已经配好了——对你的影响基本为零。ACME客户端(certbot、acme.sh、Caddy内置的证书管理)天生就是为90天甚至更短周期设计的。

但以下三类站长需要手动处理:

1)用的付费证书(DigiCert、Sectigo等)且手动续期的——每90天要操作一次,一年四次。考虑切换到Let's Encrypt或者至少把续期流程自动化。

2)宝塔面板用户——宝塔的Let's Encrypt自动续期功能2024年之前的版本偶尔会失败,cron任务被清掉、DNS记录失效,需要确认一下续期任务还在正常运行。检查方法:宝塔面板→网站→SSL→Let's Encrypt→查看证书到期时间,如果不到30天了手动续一下。

3)CDN用户(Cloudflare、阿里云CDN等)——CDN厂商通常会自动处理源站证书续期,但要检查CDN边缘节点证书的到期策略。Cloudflare已经在2026年Q2全面支持90天边缘证书,阿里云CDN目前最长还是398天但预计年底跟进。

推荐做法

用acme.sh或certbot配一个cron任务,每60天自动续一次,留30天缓冲。如果用Caddy或Traefik做反代——它们内置自动续期,什么都不用做。如果你的服务器是自己管理的,花十分钟确认一下证书自动续期是否正常,比证书过期后发现网站打不开要好得多。

标签: HTTPS证书 TLS Let's Encrypt SSL证书 站长新闻 2026政策

发布评论 0条评论)

  • Refresh code

还木有评论哦,快来抢沙发吧~