發布:2026-07-10

SSL 憑證效期縮短到 200 天:2026 網站維運該怎麼準備?

SSLHTTPSTLS 憑證憑證效期自動續約ACME網站維運憑證監控
網路商店經營者在工作室檢查筆電上的網站

如果你的公司還是「每年收到通知,再請某個人手動換 SSL」,現在就該重新整理流程。公開信任 TLS 憑證的最長有效期已從 2026 年 3 月 15 日起縮短為 200 天,後續排程還會縮到 100 天與 47 天。

這不代表每一張憑證現在都只剩 45 天,也不代表免費 SSL 不能用。真正的變化是:憑證生命週期變短後,人工申請、人工部署與靠記憶續約會越來越不可靠。

效期會怎麼縮短?

CA/Browser Forum 通過的公開 TLS 憑證排程如下:

生效日期公開 TLS 憑證最長有效期
2026 年 3 月 15 日200 天
2027 年 3 月 15 日100 天
2029 年 3 月 15 日47 天

這裡談的是瀏覽器信任的公開 TLS 憑證。內部私有 CA、裝置憑證或程式簽章憑證有不同規則,不應混在一起判斷。

另外,Let’s Encrypt 在 2026 年推出 45 天的 tlsserver 憑證 profile,但它是可選用的短效期方案,不是「所有 Let’s Encrypt 憑證已全面變 45 天」。實際效期要看簽發時使用的 profile 與憑證內容。

為什麼效期會一直縮短?

短效期可以降低錯發憑證、金鑰外洩或網域控制權變更後的長期風險,也讓憑證生態更快淘汰舊資料與舊演算法。

對網站負責人來說,代價是維運頻率提高:

  • 網域驗證要更常成功。
  • 憑證要更常簽發與部署。
  • Load Balancer、CDN、反向代理與多台主機都要同步。
  • 監控不能只看「申請成功」,還要確認外部真的送出新憑證。

因此核心問題已從「買哪一張憑證」變成「整個生命週期能不能持續運作」。

哪些網站最容易受影響?

靠人工換憑證的企業官網

如果只有某位同事知道憑證放在哪、到期前再靠行事曆提醒,請假、離職或交接不完整就會形成單點風險。

有多層代理的網站

使用 CDN、WAF、Load Balancer、Nginx、Kubernetes Ingress 或多區部署時,外部看到的 edge 憑證與源站憑證可能不是同一張。只更新其中一層,仍可能在回源或特定入口失敗。

Wildcard 與多子網域環境

一張 wildcard 管很多服務很方便,但金鑰暴露的影響範圍也大。你要知道哪些系統共用它、誰能讀取私鑰,以及更新時是否全部成功載入。

需要組織驗證的 OV/EV

OV、EV 有組織資料驗證流程。效期縮短後,不只是伺服器端自動部署,也要確認憑證機構的組織資料、聯絡窗口與再驗證流程不會卡住。

2026 年應先做哪五件事?

1. 建立完整憑證清冊

至少記錄:

  • 網域與所有 SAN 名稱。
  • 憑證機構、驗證類型與有效期。
  • 部署位置:CDN、WAF、Load Balancer、Web Server 或設備。
  • 私鑰負責系統與可存取角色。
  • 簽發方式:ACME、自動代管或人工。
  • 到期監控、告警對象與復原窗口。

不要只掃描首頁。apiportalmailwww、舊版系統與合作夥伴入口都可能使用不同憑證。

2. 優先自動化網域驗證與更新

一般 DV 憑證可評估 ACME。HTTP-01 適合能穩定對外提供驗證路徑的網站;DNS-01 可處理 wildcard,但要更嚴格保護 DNS API 憑證,並把權限限制在必要 zone 與記錄操作。

自動更新不是每天盲目重簽。正常做法是在進入更新窗口後申請新憑證,成功部署並驗證,再讓舊憑證自然退出。

3. 把「部署」和「重新載入」納入流程

檔案寫到磁碟不等於服務已使用新憑證。更新後還要:

  • 驗證完整 certificate chain。
  • 將憑證與私鑰送到正確節點。
  • 安全地 reload/rollout 服務。
  • 從外部連線確認序號與到期日已更新。
  • 確認 SNI 下的每個網域都回正確憑證。

4. 設兩層告警

建議同時監控:

  • 自動化工作是否失敗:ACME 驗證、簽發、部署或 reload 錯誤。
  • 外部實際效期:從 Internet 看到的憑證還剩多少天。

只有到期天數告警,通常代表你很晚才知道自動化早已壞掉;只有工作成功日誌,又可能漏掉部署到錯誤節點。

5. 定期做更新演練

不要等真正進入到期窗口才第一次測。演練時確認:

  • 網域驗證路徑沒有被 CDN、WAF 或 redirect 阻擋。
  • DNS API token 還有效且權限足夠。
  • 新憑證能部署到所有節點。
  • 服務 reload 不會造成中斷。
  • 告警能送到目前仍負責的人。

免費 SSL、付費 SSL 還要怎麼選?

效期縮短不會讓 DV、OV、EV、Wildcard 的用途變成一樣。你仍要看網域數量、組織驗證、品牌與合規需求;只是無論免費或付費,都要把更新與監控算進方案。

如果你還在比較類型,先看 免費 SSL、DV、OV、EV、Wildcard 怎麼選。若已使用 cPanel,可用 SSL 憑證設定教學 檢查 AutoSSL 與實際部署狀態。

憑證管理檢查清單

  • 所有公開網域與子網域都有清冊
  • 知道每張憑證部署在哪一層
  • 網域驗證與更新流程可自動執行
  • DNS API token 採最小權限並可輪替
  • 新憑證部署後會 reload 並做外部驗證
  • 簽發失敗與實際到期日都有告警
  • OV/EV 組織資料與聯絡窗口仍有效
  • 每季至少做一次更新或復原演練

如果你不想自己追蹤簽發、部署、鏈結與到期監控,可查看 SSL 憑證方案 或從 聯絡我們 說明目前網域、主機與 CDN 架構,先確認由哪一層負責憑證全程代管。

資料來源:CA/Browser Forum SC081v3Let’s Encrypt 45 天憑證說明

需要有人管理憑證生命週期?

公開 TLS 憑證效期持續縮短,重點已從一次申請轉為驗證、更新、部署與到期監控。