SSL憑證檢測
證書探測
直接從服務端發起 TLS 握手,讀取憑證、協商協議與剩餘有效期。
線上檢測SSL/TLS憑證,輸入網域即可查看憑證是否有效、網域是否匹配、剩餘天數、TLS版本、加密套件和SAN列表,後端發起握手無CORS問題。
直接從服務端發起 TLS 握手,讀取憑證、協商協議與剩餘有效期。
線上檢測SSL/TLS憑證,輸入網域即可查看憑證是否有效、網域是否匹配、剩餘天數、TLS版本、加密套件和SAN列表,後端發起握手無CORS問題。
SSL憑證過期、網域不匹配、設定錯誤是HTTPS網站最常見的故障類型。憑證過期後瀏覽器會顯示「不安全」警告導致訪客流失,Google搜尋排名也會受影響。定期檢測和提前續期是保障HTTPS正常執行的基本維運工作。
SSL Labs做深度評分(包含協定、套件、漏洞等全方位測試,耗時約2分鐘),本工具做快速基礎檢測(1-3秒返回結果),覆蓋憑證有效性、有效期、TLS版本、加密套件、SAN列表等核心資訊,適合上線前快速驗證、續期確認、錯誤排查。
可能原因:1) 網站封鎖了海外IP(檢測伺服器在海外);2) 伺服器做了SNI區分但設定不完整;3) 使用了企業內網自簽憑證;4) 防火牆攔截了檢測節點。檢測失敗不代表憑證有問題,需要結合具體錯誤資訊判斷。
TLS 1.3(2018年,RFC 8446)是最新版本,握手速度從TLS 1.2的2-RTT提升到1-RTT甚至0-RTT,移除了RSA金鑰交換、RC4、SHA-1等不安全演算法,預設啟用前向保密(Forward Secrecy),安全性和效能都有明顯提升。新部署建議優先支援TLS 1.3,保留TLS 1.2相容老客戶端。
建議在到期前30天開始準備續期,至少提前7天完成部署。工具使用顏色預警:>30天綠色(正常)、7-30天黃色(應續期)、<7天紅色(緊急)。Let's Encrypt憑證有效期90天,建議設定自動續期。
Let's EncryptSAN(Subject Alternative Name,主體備用名稱)是憑證中聲明允許使用的網域/IP列表。現代瀏覽器(Chrome 58+)已不再信任Common Name(CN)欄位,只檢查SAN。如果存取的網域不在SAN列表中,瀏覽器會報「網域不匹配」錯誤。一張憑證可以透過SAN覆蓋多個網域(如example.com、www.example.com、api.example.com)。
憑證指紋(SHA-1/SHA-256)是憑證內容的雜湊值,可用於HPKP(已廢棄)、憑證固定(Certificate Pinning)、以及人工驗證部署的憑證是否與預期一致——例如確認CDN是否已正確載入新憑證,或在多台伺服器間驗證憑證是否相同。注意:SHA-1指紋僅用於標識,不應用於安全校驗。
SSL/TLS憑證檢測是透過從用戶端發起TLS握手,取得並分析目標伺服器傳回的憑證資訊,從而判斷HTTPS設定是否正確的過程。核心檢查項包括:憑證是否在有效期內、存取的網域是否在憑證允許列表中(SAN匹配)、憑證鏈是否完整可信任、使用的TLS協定版本和加密套件是否安全等。
**為什麼憑證檢測如此重要?** SSL憑證是HTTPS的信任基礎,一旦憑證出現問題(最常見的是過期),瀏覽器會直接攔截存取,顯示「您的連線不是私密連線」紅色警告頁面,對網站流量、轉換率、SEO排名和品牌信任都會造成直接打擊。根據監測,憑證過期是HTTPS故障中最常見的原因,約占所有HTTPS事故的40%以上。
**和直接在瀏覽器中存取有什麼不同?** 瀏覽器存取時可能因為快取、HSTS、企業代理、用戶端憑證等因素產生偏差;而憑證檢測工具從獨立節點發起標準TLS握手,傳回的是客觀、標準化的憑證資訊,適合維運驗證場景。本工具從後端伺服器直接發起TLS握手,**沒有瀏覽器CORS限制**,可以檢測任意公網可達的HTTPS網域。
**本工具檢測的核心資訊**:憑證授權狀態(是否有效)、authorizationError具體錯誤資訊、TLS協定版本(TLS 1.2/1.3)、協商的加密套件(Cipher)、ALPN協定協商結果(h2/http/1.1)、憑證頒發者(Subject/Issuer)、有效期起止日期(validFrom/validTo)、剩餘天數(帶顏色預警)、SAN主體備用名稱列表、SHA-1/SHA-256指紋、回應時間,以及完整JSON詳情。
檢測結果通常在1-3秒傳回,適合上線前快速驗證、續期確認、故障排查等場景。如需深度評分(如SSL Labs的A+-F評級,包含重新協商、漏洞測試、協定支援度等),建議配合SSL Labs Server Test使用。
| 協定版本 | 發布年份 | 目前狀態 | 說明 |
|---|---|---|---|
SSL 1.0-3.0 | 1995-1996 | ❌ 已廢棄/不安全 | 存在POODLE等嚴重漏洞,所有現代瀏覽器已停用 |
TLS 1.0 | 1999 | ❌ 已廢棄 | BEAST、CRIME等漏洞,PCI DSS 2018起禁止使用 |
TLS 1.1 | 2006 | ❌ 已廢棄 | RFC 8996正式廢棄,Chrome/Firefox 2020起移除支援 |
TLS 1.2 | 2008 | ⚠️ 廣泛支援(過渡) | 目前部署最廣,相容性最好,但存在部分弱加密套件風險 |
TLS 1.3 | 2018 (RFC 8446) | ✅ 推薦使用 | 握手更快(1-RTT/0-RTT)、移除弱演算法,現代瀏覽器首選 |
| 剩餘天數 | 狀態顏色 | 建議操作 |
|---|---|---|
| >30天 | 🟢 綠色(正常) | 無需操作,定期檢查即可 |
| 7-30天 | 🟡 黃色(預警) | 儘快啟動續期流程,確保在過期前完成替換 |
| <7天 | 🔴 紅色(緊急) | 立即續期,過期後瀏覽器會攔截存取 |
| 0天/已過期 | 🔴 紅色(已過期) | 憑證已失效,使用者存取會看到安全警告,必須立即處理 |
| 錯誤類型 | 常見原因 | 解決方向 |
|---|---|---|
| 憑證過期 (expired) | 憑證超出validTo日期未續期 | 及時續期並部署新憑證 |
| 網域不匹配 (name mismatch) | 憑證SAN列表中沒有目前存取網域 | 重新簽發包含目標網域的憑證,或檢查CDN回源設定 |
| 憑證鏈不完整 (incomplete chain) | 伺服器未正確設定中繼憑證 | 將中繼憑證與葉子憑證合併部署 |
| 自簽憑證 (self-signed) | 憑證由私有CA簽發,未經過公開信任 | 使用Let's Encrypt等公開CA簽發憑證 |
| 不受信任的頒發者 (untrusted issuer) | CA根憑證不在瀏覽器信任庫中 | 更換為受信任CA簽發的憑證 |