开头（痛点引入）

"昨天还能正常推送代码，今天突然报错 `SSL certificate problem: certificate has expired`！"——这是许多开发者遇到Git的SSL证书过期时的第一反应。别慌，本文将用真实案例+大白话带你彻底搞懂问题本质，并提供3种解决方案。

一、为什么Git会提示SSL证书过期？

SSL证书就像网站的"身份证"，由权威机构颁发，有明确有效期（通常1-2年）。当Git与远程仓库（如GitHub/GitLab）通信时，会校验对方证书是否有效。若证书过期，就会阻断连接以防范中间人攻击。

典型案例：

2025年全球大量用户因Let's Encrypt旧根证书（DST Root CA X3）过期导致Git操作失败。错误信息如下：

```bash

fatal: unable to access 'https://github.com/xxx.git/': SSL certificate problem: certificate has expired

```

二、4步快速定位问题根源

1. 检查错误类型（关键！）

- 证书过期：`certificate has expired`

- 证书不受信任：`self signed certificate`

- 域名不匹配：`hostname not match`

2. 手动验证证书有效期（Linux/Mac示例）

openssl s_client -connect github.com:443 -servername github.com | openssl x509 -noout -dates

输出中的`notAfter`即过期时间：

notAfter=May 30 23:59:59 2025 GMT

3. 确认本地系统时间

电脑时间错误可能导致误判！用`date`命令检查：

date -R

正确示例：Fri, 14 Jun 2025 09:00:00 +0800

4. 排查企业网络干扰

有些公司防火墙会替换HTTPS证书。可通过浏览器访问仓库URL，点击地址栏锁图标查看实际证书信息。

三、3种解决方案（附适用场景）

?? 方案1：更新操作系统根证书（推荐长期方案）

适用于：系统CA存储老旧导致不识别新证书

- Ubuntu/Debian:

```bash

sudo apt update && sudo apt install ca-certificates

```

- CentOS/RHEL:

sudo yum update ca-certificates

?? 方案2：临时关闭SSL验证（仅限测试环境！）

危险但快速恢复开发的方法：

git config --global http.sslVerify false

?? 警告：这会禁用所有HTTPS校验，可能暴露于钓鱼攻击！

?? 方案3：手动更新指定域名证书（企业内网常见）

适用于自签名或内部CA颁发的证书：

Step1.获取新证书(.pem格式)

Step2.添加到Git信任列表

git config --global http."https://internal-git.com/".sslCAInfo /path/to/new_cert.pem

四、防患于未然的3个建议

1. 监控工具预警

使用Nagios或Zabbix监控关键域名证书有效期，例如检测命令：

```bash

echo | openssl s_client -connect github.com:443 | openssl x509 -noout -checkend $((30*86400))

```

2. CI/CD流程加固

在Jenkins/GitLab CI中增加证书检查步骤：

```groovy

pipeline {

stages {

stage('Security Check') {

steps {

sh 'openssl s_client -connect ${GIT_HOST}:443 | grep "Verify return code"'

}

}

}

}

3. 开发者终端配置标准化

团队共享`.gitconfig`模板包含安全配置：

[http]

sslVerify = true

sslCAPath = /etc/ssl/certs/

FAQ高频疑问解答

? Q：为什么只有我电脑报错而同事正常？

?? A：大概率是你的操作系统未自动更新根证书包。尝试方案1或运行`update-ca-certificates`命令。

? Q：自建GitLab如何避免每年续期烦恼？

?? A：使用Let's Encrypt免费证书并配置自动续期：

certbot renew --pre-hook "gitlab-ctl stop nginx" --post-hook "gitlab-ctl start nginx"

通过以上方法，你不仅能解决眼前问题，更能构建预防性安全体系。记住：SSL/TLS是代码传输的第一道防线，正确处理证书问题=守护你的代码安全！（正文约1050字）

TAG:git的ssl证书过期,git ssl认证,ssl证书过期了,git ssh认证,github ssl证书,gitlab ssl证书