SSL证书检测
证书探测
直接从服务端发起 TLS 握手,读取证书、协商协议与剩余有效期。
在线检测SSL/TLS证书,输入域名即可查看证书是否有效、域名是否匹配、剩余天数、TLS版本、加密套件和SAN列表,后端发起握手无CORS问题。
直接从服务端发起 TLS 握手,读取证书、协商协议与剩余有效期。
在线检测SSL/TLS证书,输入域名即可查看证书是否有效、域名是否匹配、剩余天数、TLS版本、加密套件和SAN列表,后端发起握手无CORS问题。
SSL证书过期、域名不匹配、配置错误是HTTPS网站最常见的故障类型。证书过期后浏览器会显示「不安全」警告导致访客流失,Google搜索排名也会受影响。定期检测和提前续期是保障HTTPS正常运行的基本运维工作。
SSL Labs做深度评分(包含协议、套件、漏洞等全方位测试,耗时约2分钟),本工具做快速基础检测(1-3秒返回结果),覆盖证书有效性、有效期、TLS版本、加密套件、SAN列表等核心信息,适合上线前快速验证、续期确认、错误排查。
可能原因:1) 网站屏蔽了海外IP(检测服务器在海外);2) 服务器做了SNI区分但配置不完整;3) 使用了企业内网自签名证书;4) 防火墙拦截了检测节点。检测失败不代表证书有问题,需要结合具体错误信息判断。
TLS 1.3(2018年,RFC 8446)是最新版本,握手速度从TLS 1.2的2-RTT提升到1-RTT甚至0-RTT,移除了RSA密钥交换、RC4、SHA-1等不安全算法,默认启用前向保密(Forward Secrecy),安全性和性能都有明显提升。新部署建议优先支持TLS 1.3,保留TLS 1.2兼容老客户端。
建议在到期前30天开始准备续期,至少提前7天完成部署。工具使用颜色预警:>30天绿色(正常)、7-30天黄色(应续期)、<7天红色(紧急)。Let's Encrypt证书有效期90天,建议配置自动续期。
Let's EncryptSAN(Subject Alternative Name,主题备用名称)是证书中声明允许使用的域名/IP列表。现代浏览器(Chrome 58+)已不再信任Common Name(CN)字段,只检查SAN。如果访问的域名不在SAN列表中,浏览器会报「域名不匹配」错误。一张证书可以通过SAN覆盖多个域名(如example.com、www.example.com、api.example.com)。
证书指纹(SHA-1/SHA-256)是证书内容的哈希值,可用于HPKP(已废弃)、证书固定(Certificate Pinning)、以及人工验证部署的证书是否与预期一致——例如确认CDN是否已正确加载新证书,或在多台服务器间验证证书是否相同。注意:SHA-1指纹仅用于标识,不应用于安全校验。
SSL/TLS证书检测是通过从客户端发起TLS握手,获取并分析目标服务器返回的证书信息,从而判断HTTPS配置是否正确的过程。核心检查项包括:证书是否在有效期内、访问的域名是否在证书允许列表中(SAN匹配)、证书链是否完整可信任、使用的TLS协议版本和加密套件是否安全等。
**为什么证书检测如此重要?** SSL证书是HTTPS的信任基础,一旦证书出现问题(最常见的是过期),浏览器会直接拦截访问,显示「您的连接不是私密连接」红色警告页面,对网站流量、转化率、SEO排名和品牌信任都会造成直接打击。根据监测,证书过期是HTTPS故障中最常见的原因,约占所有HTTPS事故的40%以上。
**和直接在浏览器中访问有什么不同?** 浏览器访问时可能因为缓存、HSTS、企业代理、客户端证书等因素产生偏差;而证书检测工具从独立节点发起标准TLS握手,返回的是客观、标准化的证书信息,适合运维验证场景。本工具从后端服务器直接发起TLS握手,**没有浏览器CORS限制**,可以检测任意公网可达的HTTPS域名。
**本工具检测的核心信息**:证书授权状态(是否有效)、authorizationError具体错误信息、TLS协议版本(TLS 1.2/1.3)、协商的加密套件(Cipher)、ALPN协议协商结果(h2/http/1.1)、证书颁发者(Subject/Issuer)、有效期起止日期(validFrom/validTo)、剩余天数(带颜色预警)、SAN主题备用名称列表、SHA-1/SHA-256指纹、响应时间,以及完整JSON详情。
检测结果通常在1-3秒返回,适合上线前快速验证、续期确认、故障排查等场景。如需深度评分(如SSL Labs的A+-F评级,包含重协商、漏洞测试、协议支持度等),建议配合SSL Labs Server Test使用。
| 协议版本 | 发布年份 | 当前状态 | 说明 |
|---|---|---|---|
SSL 1.0-3.0 | 1995-1996 | ❌ 已废弃/不安全 | 存在POODLE等严重漏洞,所有现代浏览器已禁用 |
TLS 1.0 | 1999 | ❌ 已废弃 | BEAST、CRIME等漏洞,PCI DSS 2018起禁止使用 |
TLS 1.1 | 2006 | ❌ 已废弃 | RFC 8996正式废弃,Chrome/Firefox 2020起移除支持 |
TLS 1.2 | 2008 | ⚠️ 广泛支持(过渡) | 当前部署最广,兼容性最好,但存在部分弱加密套件风险 |
TLS 1.3 | 2018 (RFC 8446) | ✅ 推荐使用 | 握手更快(1-RTT/0-RTT)、移除弱算法,现代浏览器首选 |
| 剩余天数 | 状态颜色 | 建议操作 |
|---|---|---|
| >30天 | 🟢 绿色(正常) | 无需操作,定期检查即可 |
| 7-30天 | 🟡 黄色(预警) | 尽快启动续期流程,确保在过期前完成替换 |
| <7天 | 🔴 红色(紧急) | 立即续期,过期后浏览器会拦截访问 |
| 0天/已过期 | 🔴 红色(已过期) | 证书已失效,用户访问会看到安全警告,必须立即处理 |
| 错误类型 | 常见原因 | 解决方向 |
|---|---|---|
| 证书过期 (expired) | 证书超出validTo日期未续期 | 及时续期并部署新证书 |
| 域名不匹配 (name mismatch) | 证书SAN列表中没有当前访问域名 | 重新签发包含目标域名的证书,或检查CDN回源配置 |
| 证书链不完整 (incomplete chain) | 服务器未正确配置中间证书 | 将中间证书与叶子证书合并部署 |
| 自签名证书 (self-signed) | 证书由私有CA签发,未经过公开信任 | 使用Let's Encrypt等公开CA签发证书 |
| 不受信任的颁发者 (untrusted issuer) | CA根证书不在浏览器信任库中 | 更换为受信任CA签发的证书 |