logo
GeekFormat

SSL憑證檢測

證書探測

直接從服務端發起 TLS 握手,讀取憑證、協商協議與剩餘有效期。

線上檢測SSL/TLS憑證,輸入網域即可查看憑證是否有效、網域是否匹配、剩餘天數、TLS版本、加密套件和SAN列表,後端發起握手無CORS問題。

相關推薦

適用場景

  • 網站上線前/憑證續期後,快速驗證HTTPS是否正常生效
  • 憑證到期預警:定期檢查剩餘天數,避免意外過期導致存取中斷
  • 排查瀏覽器HTTPS錯誤:定位是過期、網域不匹配還是憑證鏈問題
  • CDN/反向代理部署後驗證邊緣節點憑證是否正確載入
  • 檢查TLS協定版本和加密套件是否滿足安全合規要求
  • 多網域憑證部署後驗證SAN列表是否覆蓋所有目標網域

功能特點

  • 後端TLS握手:從伺服器直接發起TLS連線,無瀏覽器CORS限制,可檢測任意公網網域
  • 授權狀態即時判斷:憑證是否有效、網域是否匹配、授權錯誤資訊一目了然
  • 剩餘天數顏色預警:>30天綠色、7-30天黃色、<7天紅色,續期時機快速判斷
  • 核心設定一覽:TLS協定版本、加密套件(Cipher)、ALPN協定協商結果直接可見
  • SAN列表完整展示:所有主體備用名稱以標籤形式列出,超過8個可展開查看全部
  • 雙指紋一鍵複製:SHA-1和SHA-256指紋單獨展示並支援一鍵複製
  • 完整JSON匯出:可展開查看完整憑證JSON結構,支援一鍵複製用於深度排查和存檔

使用方法

  1. 輸入需要檢測的網域(如 geekformat.com,不帶https://前綴)
  2. 點擊「檢查憑證」按鈕,等待1-3秒獲取TLS握手結果
  3. 首先查看授權狀態(綠色有效/紅色失效)和剩餘天數顏色
  4. 檢查TLS版本、Cipher、ALPN協商是否符合預期
  5. 查看Subject/Issuer、有效期、SAN列表確認憑證資訊正確
  6. 如需深度排查,展開JSON詳情查看完整憑證結構並複製存檔

常見問題

為什麼需要檢測SSL憑證?

SSL憑證過期、網域不匹配、設定錯誤是HTTPS網站最常見的故障類型。憑證過期後瀏覽器會顯示「不安全」警告導致訪客流失,Google搜尋排名也會受影響。定期檢測和提前續期是保障HTTPS正常執行的基本維運工作。

憑證檢測和SSL Labs有什麼區別?

SSL Labs做深度評分(包含協定、套件、漏洞等全方位測試,耗時約2分鐘),本工具做快速基礎檢測(1-3秒返回結果),覆蓋憑證有效性、有效期、TLS版本、加密套件、SAN列表等核心資訊,適合上線前快速驗證、續期確認、錯誤排查。

為什麼瀏覽器能直接存取但本工具檢測失敗?

可能原因:1) 網站封鎖了海外IP(檢測伺服器在海外);2) 伺服器做了SNI區分但設定不完整;3) 使用了企業內網自簽憑證;4) 防火牆攔截了檢測節點。檢測失敗不代表憑證有問題,需要結合具體錯誤資訊判斷。

TLS 1.2和TLS 1.3有什麼區別?

TLS 1.3(2018年,RFC 8446)是最新版本,握手速度從TLS 1.2的2-RTT提升到1-RTT甚至0-RTT,移除了RSA金鑰交換、RC4、SHA-1等不安全演算法,預設啟用前向保密(Forward Secrecy),安全性和效能都有明顯提升。新部署建議優先支援TLS 1.3,保留TLS 1.2相容老客戶端。

憑證還有多少天應該續期?

建議在到期前30天開始準備續期,至少提前7天完成部署。工具使用顏色預警:>30天綠色(正常)、7-30天黃色(應續期)、<7天紅色(緊急)。Let's Encrypt憑證有效期90天,建議設定自動續期。

Let's Encrypt

什麼是SAN列表?為什麼重要?

SAN(Subject Alternative Name,主體備用名稱)是憑證中聲明允許使用的網域/IP列表。現代瀏覽器(Chrome 58+)已不再信任Common Name(CN)欄位,只檢查SAN。如果存取的網域不在SAN列表中,瀏覽器會報「網域不匹配」錯誤。一張憑證可以透過SAN覆蓋多個網域(如example.com、www.example.com、api.example.com)。

為什麼需要查看憑證指紋?

憑證指紋(SHA-1/SHA-256)是憑證內容的雜湊值,可用於HPKP(已廢棄)、憑證固定(Certificate Pinning)、以及人工驗證部署的憑證是否與預期一致——例如確認CDN是否已正確載入新憑證,或在多台伺服器間驗證憑證是否相同。注意:SHA-1指紋僅用於標識,不應用於安全校驗。

什麼是SSL/TLS憑證檢測?

SSL/TLS憑證檢測是透過從用戶端發起TLS握手,取得並分析目標伺服器傳回的憑證資訊,從而判斷HTTPS設定是否正確的過程。核心檢查項包括:憑證是否在有效期內、存取的網域是否在憑證允許列表中(SAN匹配)、憑證鏈是否完整可信任、使用的TLS協定版本和加密套件是否安全等。

**為什麼憑證檢測如此重要?** SSL憑證是HTTPS的信任基礎,一旦憑證出現問題(最常見的是過期),瀏覽器會直接攔截存取,顯示「您的連線不是私密連線」紅色警告頁面,對網站流量、轉換率、SEO排名和品牌信任都會造成直接打擊。根據監測,憑證過期是HTTPS故障中最常見的原因,約占所有HTTPS事故的40%以上。

**和直接在瀏覽器中存取有什麼不同?** 瀏覽器存取時可能因為快取、HSTS、企業代理、用戶端憑證等因素產生偏差;而憑證檢測工具從獨立節點發起標準TLS握手,傳回的是客觀、標準化的憑證資訊,適合維運驗證場景。本工具從後端伺服器直接發起TLS握手,**沒有瀏覽器CORS限制**,可以檢測任意公網可達的HTTPS網域。

**本工具檢測的核心資訊**:憑證授權狀態(是否有效)、authorizationError具體錯誤資訊、TLS協定版本(TLS 1.2/1.3)、協商的加密套件(Cipher)、ALPN協定協商結果(h2/http/1.1)、憑證頒發者(Subject/Issuer)、有效期起止日期(validFrom/validTo)、剩餘天數(帶顏色預警)、SAN主體備用名稱列表、SHA-1/SHA-256指紋、回應時間,以及完整JSON詳情。

檢測結果通常在1-3秒傳回,適合上線前快速驗證、續期確認、故障排查等場景。如需深度評分(如SSL Labs的A+-F評級,包含重新協商、漏洞測試、協定支援度等),建議配合SSL Labs Server Test使用。

术语表

SSL/TLS
SSL(Secure Sockets Layer)是網景1990年代開發的加密協定,後由IETF標準化更名為TLS(Transport Layer Security)。SSL 3.0及以前版本均已廢棄,目前實際使用的是TLS 1.2和TLS 1.3,但習慣上仍常稱「SSL憑證」。
HTTPS
HTTP over TLS,在HTTP與TCP之間加入TLS加密層,提供資料加密、伺服器身份認證和內容完整性保護。Google搜尋對HTTPS網站有排名加權,Chrome對非HTTPS網站標記「不安全」。
SAN (Subject Alternative Name)
X.509憑證擴充欄位,列出該憑證允許使用的所有網域和IP位址。現代瀏覽器(Chrome 58+)只檢查SAN,不再看Common Name(CN)。一張SAN憑證可以同時保護多個網域。
憑證鏈 (Certificate Chain)
從葉子憑證(伺服器憑證)到中繼CA憑證,再到根CA憑證的信任鏈。伺服器必須發送葉子憑證+中繼憑證,瀏覽器透過預裝的根憑證驗證鏈的完整性。缺失中繼憑證是常見設定錯誤。
ALPN (Application-Layer Protocol Negotiation)
TLS擴充,允許在TLS握手階段協商應用層協定(如h2代表HTTP/2、http/1.1代表HTTP/1.1、h3代表HTTP/3)。握手完成後直接使用協商好的協定,無需額外往返。
Cipher Suite(加密套件)
TLS握手時協商的一組加密演算法組合,包含金鑰交換演算法、認證演算法、對稱加密演算法和雜湊演算法,如TLS_AES_256_GCM_SHA384。安全設定應優先使用AEAD套件(如GCM、ChaCha20-Poly1305)。
Let's Encrypt
由ISRG營運的免費、自動化、開放的憑證頒發機構(CA),2016年正式推出,已簽發超過30億張憑證,極大降低了HTTPS部署門檻。憑證有效期90天,透過ACME協定自動續期。Let's Encrypt官網
憑證指紋 (Fingerprint)
對憑證DER編碼內容計算的雜湊值,常用SHA-1和SHA-256。指紋用於唯一標識一張憑證,可用於憑證固定(Pinning)和多節點一致性驗證。SHA-1因碰撞風險已不推薦用於安全用途,但仍廣泛用於標識。
SNI (Server Name Indication)
TLS擴充,在握手階段用戶端就發送要存取的網域,使同一IP的伺服器可以部署多個不同網域的憑證(類似HTTP的Host標頭)。SNI是現代虛擬主機HTTPS的基礎,未設定SNI的伺服器會傳回預設憑證,可能導致網域不匹配錯誤。
前向保密 (Forward Secrecy / PFS)
一種安全屬性:即使伺服器私密金鑰日後外洩,也無法解密之前記錄的加密會話流量。透過ECDHE等臨時金鑰交換演算法實現,是TLS 1.3的強制要求,也是現代安全設定的推薦標準。

TLS協定版本歷史與現狀

協定版本發布年份目前狀態說明
SSL 1.0-3.01995-1996❌ 已廢棄/不安全存在POODLE等嚴重漏洞,所有現代瀏覽器已停用
TLS 1.01999❌ 已廢棄BEAST、CRIME等漏洞,PCI DSS 2018起禁止使用
TLS 1.12006❌ 已廢棄RFC 8996正式廢棄,Chrome/Firefox 2020起移除支援
TLS 1.22008⚠️ 廣泛支援(過渡)目前部署最廣,相容性最好,但存在部分弱加密套件風險
TLS 1.32018 (RFC 8446)✅ 推薦使用握手更快(1-RTT/0-RTT)、移除弱演算法,現代瀏覽器首選

憑證過期顏色預警與處理建議

剩餘天數狀態顏色建議操作
>30天🟢 綠色(正常)無需操作,定期檢查即可
7-30天🟡 黃色(預警)儘快啟動續期流程,確保在過期前完成替換
<7天🔴 紅色(緊急)立即續期,過期後瀏覽器會攔截存取
0天/已過期🔴 紅色(已過期)憑證已失效,使用者存取會看到安全警告,必須立即處理

常見SSL錯誤類型排查

錯誤類型常見原因解決方向
憑證過期 (expired)憑證超出validTo日期未續期及時續期並部署新憑證
網域不匹配 (name mismatch)憑證SAN列表中沒有目前存取網域重新簽發包含目標網域的憑證,或檢查CDN回源設定
憑證鏈不完整 (incomplete chain)伺服器未正確設定中繼憑證將中繼憑證與葉子憑證合併部署
自簽憑證 (self-signed)憑證由私有CA簽發,未經過公開信任使用Let's Encrypt等公開CA簽發憑證
不受信任的頒發者 (untrusted issuer)CA根憑證不在瀏覽器信任庫中更換為受信任CA簽發的憑證

Authoritative References