2026年1月5日凌晨4点03分,拳头游戏公司为《英雄联盟》签发的SSL证书正式到期,导致全球服务器出现大规模登录故障。这本于2016年1月8日签发的证书,刚好走完其十年的有效期。
凌晨5点43分,英雄联盟官方发布临时停机维护公告。直到下午3时,服务才逐步恢复正常。这已是拳头游戏公司第二次因同一原因导致服务中断,早在2016年1月就曾发生过类似事件。
01 证书危机:小证书引发大瘫痪
SSL证书作为服务器的“数字身份证”,承担着身份认证和信息加密的双重使命。一旦过期,客户端与服务器之间的加密连接便会失败,触发安全警告,导致用户无法访问服务。
证书过期的连锁反应迅速显现:大量玩家在社交媒体报告无法登录,英雄联盟相关话题迅速登上热搜。有玩家为临时“骗过”证书验证,将电脑日期改为1月3日或4日,便可暂时登录游戏。
这一事件揭示了企业证书管理的普遍盲区。拳头游戏公司曾在十年前发生同样问题后承诺实施“自动续费”,但十年后问题重演。
02 2026年起,SSL证书规则将彻底改变
更值得关注的是,SSL证书的管理规则正在发生根本性变化。根据CA/浏览器论坛的新规,SSL证书的有效期将大幅缩短。
新规实施时间表明确显示了这一趋势:
2026年3月15日起:TLS/SSL证书的最长有效期缩短至200天
2027年3月15日起:进一步缩短至100天
2029年3月15日起:最终缩短至仅47天
同时,全球最大的免费证书机构Let's Encrypt也宣布,到2028年其证书有效期将从目前的90天减至45天。这一变革旨在提升安全性,限制证书私钥泄露后的风险暴露窗口,并推动自动化证书管理的普及。
03 四步法,科学选购SSL证书
面对有效期大幅缩短的新形势,企业应如何科学选购SSL证书?以下是基于业务场景的选型指南。
第一步:明确验证等级需求
DV证书仅验证域名所有权,适合个人网站、博客或测试环境,签发速度快(几分钟到几小时),典型品牌:iTrustSSL 、TrustAsia。
OV证书需要验证企业真实身份,证书中会包含企业信息,适合中小企业官网、电商平台等,典型品牌:DigiCert、GeoTrust、GlobalSign 、iTrustSSL 、TrustAsia。
EV证书提供最高级别的验证和信任,适合金融机构、大型企业等对安全要求极高的场景,,典型品牌:DigiCert、GeoTrust、GlobalSign 、iTrustSSL 、TrustAsia。
第二步:根据域名结构选择证书类型
单域名证书是最经济的选择,仅保护一个完整域名。
通配符证书可保护一个主域名及其所有同级子域名,是拥有多个子域企业的理想选择。
多域名证书适合需要保护多个完全不同域名的企业,一张证书可覆盖多个独立域名。
第三步:选择适合的加密算法
RSA算法兼容性最好,几乎支持所有浏览器和设备。
ECC算法具有更快的加密速度和更高的安全强度,尤其适合移动端和物联网设备。
SM2国密算法符合中国商用密码标准,适用于政务、金融等需满足国密合规要求的场景。
第四步:证书管理策略至关重要
随着有效期缩短,自动化证书管理将从优选方案变为必选项。证书监控、自动续期和部署流程的自动化,将成为企业基础架构的重要组成部分。
企业应建立证书过期预警机制,在证书到期前足够时间开始续期流程,避免服务中断。
04 新规下的证书管理策略
未来几年,随着有效期政策的逐步实施,企业证书管理将面临根本性变革。手动更新证书的方式将变得不可行。
对于个人项目或测试环境,可选择免费证书(如个人测试证书),但需注意其不提供SLA保障,且有效期较短(通常90天)。
对于生产环境业务,应选择正式证书,并考虑自动化证书管理方案。各大云服务商提供的证书托管服务可自动续期和部署,大幅降低运维压力。
数字证书管理服务已在2024年6月将SSL免费证书更名为个人测试证书,将升级证书变更为个人测试证书。这一变化反映了行业对证书分类管理的进一步细化。
英雄联盟的证书过期事件是一个警示:未来已来,企业需从现在开始规划证书自动管理策略。选择正确的证书类型,建立自动化管理流程,才能避免成为下一个“头条新闻”。
