2026年7月1日开始,Let’sEncrypt旧版Y系列根证书信任链路正式进入全网淘汰收尾阶段,按照官方既定时间规划,7月8日起将全面终止旧根证书的客户端认证信任校验。近期大量中小企业官网、小程序后端、API接口、政务运维平台陆续出现浏览器提示“您的连接不是私密连接”“证书不受信任”等安全告警,不仅影响用户正常访问,还会直接拉低网站搜索引擎信任度,同时在经营性网站安全巡检、等保测评中被判定为高危安全隐患。
本次证书信任链失效并非SSL证书本身过期导致,而是终端设备、服务器、负载均衡、CDN节点内存储的旧根证书未完成升级。很多运维人员仅配置了网站域名证书,忽略了操作系统、中间件、CDN厂商侧根信任库更新,老旧安卓终端、Windows低版本服务器、老旧物联网后台成为告警高发场景。叠加2026年全球CA/B论坛规定SSL证书最长有效期压缩至199天的新规,很多企业依旧采用手动续证模式,一旦忘记续费,极易出现批量网站HTTPS宕机故障。

首先是用户流失风险,普通访客看到浏览器红色不安全警告,大概率会直接关闭网页,电商、获客类网站会出现流量断崖式下滑,小程序、APP接口调用失败会直接导致线上业务瘫痪。其次是搜索引擎优化风险,HTTPS异常站点会被搜索引擎降权、收录停滞,前期积累的SEO排名会快速流失。从合规层面来看,当前全国经营性网站7月安全专项巡检中,证书不受信任、弱加密配置均属于重点处罚项,逾期未完成整改会被暂停域名解析、注销ICP备案。
对于等保二级、三级信息系统而言,SSL证书可信性是基础测评项,根证书信任链异常会直接导致安全测评初审不通过。部分政企单位同时需要开展商用密码应用安全性评估,证书体系不合规,不仅需要重新部署证书,还要补全证书全生命周期运维日志,极大增加了企业的整改时间与人力成本。
第一,全面升级服务器、CDN、负载均衡、中间件的系统根证书信任库,替换淘汰的Let’sEncrypt旧根证书,针对老旧终端可部署可信商用OV、EVSSL证书,兼容全场景设备访问。
第二,开启ACME自动化证书签发与续证服务,适配199天短有效期政策,配置到期前30天、15天、7天多级短信、邮件预警机制,杜绝人工遗漏续证问题。
第三,做好证书运维台账,完整留存证书申请、验证、签发、续期、替换的全部操作日志,满足等保、密评的审计材料要求。
同时建议企业配置CAA解析记录,限制非授权CA机构签发域名证书,搭配DNSSEC解析防护,从域名解析源头规避证书劫持、伪造等安全攻击。定期开展全站TLS安全配置检测,关闭TLS1.0、TLS1.1等弱加密协议,采用SHA256加密算法,在保障用户安全访问的同时,守住网站合规运营底线,稳定网站SEO流量与线上业务正常运转。
最新发布
根据《中华人民共和国网络安全法》及相关法律的规定,用户不提供真实身份信息的,网络运营者不得为其提供相关服务!
详情请查看《51DNS.COM账号实名认证公告》
请未完成实名认证的用户尽快完善账户实名认证信息!
未通过实名认证的账户将无法进行正常操作,正在运行/已配置好的的产品服务不受影响,可正常生效。