证书过期是一种常见的问题,但其影响面却可能极其广泛。此类事故频繁发生是因为安装和更新证书是一个乏味的手动过程。证书过期的现象已经有了改善,Let’s Encrypt 和 SSLMate 等 CA 开始提供证书自动更新的方法。但 Firefox 扩展停止工作的事故证明,2019 年证书过期仍然会发生。DNSCrypt 开发者称他们解决了证书过期问题,DNSCrypt 服务器过去几年没有发生任何证书过期的问题。DNSCrypt 项目设计加密 DNS 流量,阻止常见的 DNS 攻击,如重放攻击、观察攻击、时序攻击、中间人攻击和解析伪造攻击。DNSCrypt 的解决方法是证书有效期不应该超过 24 小时,它的 dnscrypt 服务器 docker 镜像每 8 小时轮换证书。即使使用长期证书,它会在证书过期 30 天前开始发出一系列警告信息。
