在网站运维或系统升级过程中，可能会遇到新旧SSL证书同时存在的情况。这种现象看似无害，实则暗藏安全风险。本文将通过实际案例和通俗解释，剖析其潜在问题，并提供解决方案。

一、什么是SSL证书？

SSL证书就像网站的“身份证”，用于验证服务器身份并加密数据传输（比如密码、银行卡号）。当用户访问网站时，浏览器会检查证书是否有效、是否由受信任的机构颁发。如果一切正常，地址栏会显示“小锁”标志（HTTPS）。

例子：

假设你访问网银网站`https://bank.example.com`，浏览器发现它的SSL证书是合法的，数据就会通过加密通道传输；如果证书过期或被篡改，浏览器会弹出警告。

二、为什么会出现新旧证书并存？

1. 证书轮换时的过渡期：

- 旧证书即将到期，管理员提前部署新证书，但旧证书未及时撤销。

- *举例*：某电商网站在更换证书时，CDN节点可能因同步延迟导致部分用户收到旧证书。

2. 配置错误：

- 服务器同时加载了新旧两个证书的配置（如Nginx误配了多个`ssl_certificate`路径）。

3. 多服务器环境不同步：

- 负载均衡下的某台服务器未更新配置，其他服务器已启用新证书。

三、新旧并存的风险有哪些？

1. 中间人攻击（MITM）风险

攻击者可能利用未撤销的旧证书伪装成合法服务器。

- *案例*：2025年某社交平台因旧证书未吊销，被黑客用于劫持用户会话。

2. 兼容性问题导致服务中断

某些老旧设备（如Android 4.0）可能不信任新证书算法（如SHA-256），但旧证书已过期，导致用户无法访问。

3. 管理混乱增加运维成本

多个有效证书会增加监控难度，可能忽略某个过期或泄露的证书。

四、如何避免和解决？

? 最佳实践1：严格遵循“先撤销再部署”原则

- 在部署新证书记录后立即吊销旧证书记录（通过CRL或OCSP机制）。

- *工具推荐*：使用`openssl revoke`命令或CA提供的吊销接口。

? 最佳实践2：检查所有相关服务配置

- 确保负载均衡器、CDN、反向代理等均更新为新证书记录路径。

- *示例命令*（Nginx检查）：

```nginx

ssl_certificate /path/to/new_cert.pem;

确保只有新证书记录

ssl_certificate_key /path/to/new_key.key;

```

? 最佳实践3：监控与自动化工具

- 使用Certbot、Let’s Encrypt等工具自动续期并清理旧证书记录。

- *监控建议*：通过SSL Labs的测试工具（https://www.ssllabs.com/ssltest/）定期扫描域名证书记录状态。

五、真实案例分析：GitHub的平滑过渡方案

2025年GitHub在更换根证书记录时采用分阶段策略：

1. 预发布阶段：提前数月将新根证书记录嵌入到主流操作系统信任库；测试环境验证兼容性；逐步吊销旧的子CA记录；

2. 切换阶段：通过Canary发布逐步将流量切换到新记录链上；

3. 清理阶段：确认所有客户端兼容后彻底停用旧记录链并删除相关配置项 。

要点回顾

当新旧SSL记录同时存在时需警惕三大风险点——安全漏洞/兼容性问题/管理混乱 ；通过规范流程（撤销→部署→验证）、工具辅助及分层检查可有效规避问题 。记住一句话：“一个域名只保留一套有效HTTPS凭据”！

TAG:ssl新旧证书同时存在,ssl证书不可用,ssl证书无效是否继续访问啥意思,ssl证书续费,重新部署,ssl证书不可信怎么解决,ssl证书到期替换