SSL 证书的悖论：为什么没人选 15 年有效期

做网站几年了，SSL 证书到期这事儿已经成了日常。90 天一到，就得换一张。习惯了，也就麻木了。

可你有没有想过，其实可以申请一张有效期 15 年的证书？

别急着高兴，这事儿是真的。技术上早就支持，基础设施也齐全了。但为什么大家还是乖乖 90 天一换？问题就出在这儿。

15 年证书真的存在

行业这些年一直在缩短证书有效期。理由很直接：安全风险更小，出问题也容易修。但 Cloudflare 这类平台，确实提供了「Origin Certificate」功能，能签发 15 年有效期的源站证书。

这不是什么冷门黑科技，而是你账号里就能点开的选项。

为什么 90 天成了主流

2020 年起，CA/B 论坛逐步取消了 2 年、3 年有效期的证书。原因有三：

安全响应更快。 如果 CA 的私钥泄露，15 年证书就意味着 15 年的风险敞口。短周期能更快把损失压下来。

密钥轮换更简单。 现代系统提倡定期换密钥。15 年时间太长，操作上容易出纰漏。

自动化已经普及。 Let's Encrypt 出来后，免费自动签发证书成了标配。没人愿意再手动管理一张长期证书。

自动化才是关键

15 年证书听起来省心，但前提是你的系统已经能自动处理证书了。如果连续签都做不到，证书有效期再长也没用。

现在的 DevOps 文化，把证书当成普通基础设施：自动申请、自动监控、自动替换。90 天周期其实是在逼你把这件事做好，别偷懒。

自动签发不等于零感知

有些平台能根据你的配置，自动选择 Origin Certificate、DNS-01 或 HTTP-01 验证方式。理论上 15 年证书也能「签完就不管」。

但问题来了：你真的想完全不管吗？

证书到期是检查系统运行状况的好时机。15 年不碰一次，等于把风险藏了 15 年。

哪些场景适合 15 年证书

不是完全没用，以下情况可以考虑：

• Cloudflare 代理后的内部服务，证书不直接暴露
• 开发和测试环境，不需要最高安全等级
• 更新困难的嵌入式设备，比如某些 IoT 硬件
• 备份和容灾用的备用证书

别被「长期」迷惑

就算你用了 15 年证书，监控、告警、CI/CD 测试这些流程还是得做。证书管理的问题不会因为有效期变长而消失，只会延后爆发。

给团队的建议

与其追求更长的有效期，不如把精力放在：

• 把续期流程彻底自动化
• 设置到期提醒，别等证书挂了才发现
• 定期演练证书故障恢复
• 写好文档，让接手的人看得懂

15 年证书解决不了运维问题。真正靠谱的，是自动化和规范流程。

Cloudflare 的选择

如果你用 Cloudflare 做前置代理，确实可以申请长效 Origin Certificate。但生产环境还是建议走 90 天周期。长效证书更适合上面提到的那些特殊场景。

最后说一句

技术悖论往往反映真实的工作方式。15 年证书存在，却没人用，不是市场缺口，而是行业已经找到了更好的做法。

90 天周期 + 免费自动化，逼着我们把基础设施管好。这才是真正的「功能」。

保持自动化，别让证书成为隐患。