SSL 证书检测工具
在线检测域名的 SSL/TLS 证书有效性、过期时间、证书链详情
输入域名,点击「检测」按钮查看 SSL 证书信息
什么是 SSL 证书检测?
SSL 证书检查器用于确认网站的 TLS 证书是否有效、是否匹配访问域名、证书链是否完整,以及是否即将过期。HTTPS 不只是浏览器里的锁形图标,它影响加密传输、服务器身份、用户信任、搜索表现、支付流程、API 集成和自动化客户端连接。这个工具适合运维、部署上线、安全审计和故障排查时使用,可以快速查看有效期、签发者、覆盖域名、证书链和协议相关信息。常见问题包括忘记续期、中间证书缺失、子域名未覆盖,或把证书安装到了错误环境。
如何使用
如何使用
- 输入您要检查的域名(例如 google.com)
- 默认端口是 443。如有特殊配置请修改。
- 点击「检查」按钮或按 Enter 开始检查
- 查看证书有效性、到期日期、TLS 协议版本等信息
- 展开证书链可查看每个证书的详细信息,包括颁发者、签名算法、SANs 等
证书提示
- 请检查用户访问的完整主机名(含子域名),因为同一证书可能仅对部分名称生效,对其他名称可能不匹配。
- 在 DNS、CDN、负载均衡器或续期更改后进行检查;即使域名相同,不同环境间的证书链也可能不同。
使用场景
技术原理
SSL/TLS 证书遵循 X.509 标准。每张证书包含以下关键字段:Subject(持有者的域名或组织)、Issuer(签发 CA)、Validity(生效日期/过期日期)、Subject Public Key Info(公钥和算法)、Signature Algorithm(如 SHA256-RSA 或 ECDSA-SHA256),以及 X509v3 扩展(其中最重要的是 Subject Alternative Name 扩展)。在 TLS 握手过程中,服务器按顺序发送其证书链:叶子证书 -> 中间证书 -> 根证书(内置在浏览器中,无需发送)。客户端从叶子证书开始,逐级验证 Issuer 与父证书的 Subject 是否匹配,使用父证书的公钥验证子证书的签名,检查有效期窗口,并最终追溯到受信任的根证书。Let's Encrypt 签发的证书有效期仅为 90 天,设计为配合 certbot 等自动化工具使用;商业证书通常有效期为 1 到 3 年。SNI(Server Name Indication,服务器名称指示)允许单个 IP 托管多个 HTTPS 站点:客户端在握手时首先发送 SNI 扩展告知服务器目标主机名,服务器返回匹配的证书。OCSP(Online Certificate Status Protocol,在线证书状态协议)允许实时查询证书是否已被吊销,避免下载庞大的 CRL 列表。
- X.509 证书字段:Subject(持有者)、Issuer、Validity、Public Key、Signature Algorithm 和 SAN 扩展
- 证书链验证:从叶子证书开始,逐级检查 Issuer -> Subject 匹配,使用父证书的公钥验证子证书的签名,最终追溯到受信任的根证书
- Let's Encrypt 证书默认有效期为 90 天,配合 certbot 等工具实现自动续期;商业证书通常有效期为 1 到 3 年
- SNI(Server Name Indication)允许单个 IP 托管多个 HTTPS 站点;客户端在握手时声明目标主机名,服务器返回匹配的证书
- OCSP 用于实时吊销状态检查,避免下载庞大的 CRL;主要 CA 也部署了 OCSP Stapling
- 过期证书、弱签名算法(SHA-1)和密钥长度不足(RSA 低于 2048 位)都会触发现代浏览器的安全警告
示例
检查 GitHub 的证书
github.com — 颁发者 DigiCert TLS Hybrid ECC SHA384,剩余 67 天,协议 TLS 1.3,SAN 包含 github.com 和 *.github.com检查 Google 的证书
google.com — 颁发者 WR2 (Google Trust Services),剩余 84 天,SAN 包含 *.google.com 和 google.com检查自己的证书
blog.example.com — 颁发者 Let's Encrypt R10,剩余 23 天(建议尽快续签),签名算法 ECDSA-SHA256常见问题
证书检查会显示哪些信息?
完整的证书链(叶子证书、中间证书、根证书)、有效期、签发 CA、Subject 中的 Common Name 与 Subject Alternative Names、签名算法、公钥类型/长度、证书序列号,以及证书链是否匹配可信根。我们的后端会连接目标主机的 443 端口,并报告其返回的证书链。
可以检查 443 以外端口的证书吗?
可以——以 host:port 形式输入即可(例如 example.com:8443)。部分版本还支持 IMAP(993)、SMTP(465/587)、POP3(995)等 TLS 端口。前提是协议本身使用纯 TLS 或本工具支持的 STARTTLS。
「N 天后过期」是什么意思?
指证书中的 notAfter 日期。过期后,现代浏览器会拒绝加载该站点。请至少在到期前 30 天设置自动续期。Let's Encrypt 证书有效期为 90 天,大多数运维人员会在第 60 天自动续期。
为什么我的证书在这里看着没问题,浏览器却报错?
常见原因:证书链顺序错误(服务器以错误顺序返回中间证书);缺少中间证书(服务器只返回了叶子证书);根证书不在浏览器的信任库中(私有 CA、未内置的政府 CA);SNI 不匹配(服务器为该域名返回了错误证书)。页面通常会标记这些问题。
DV、OV、EV 证书有什么区别?
域名验证(DV):仅验证域名控制权。组织验证(OV):还会核实公司是否真实存在。扩展验证(EV):执行更严格的企业资质审查。现代浏览器对这三种证书的展示方式相同(都只显示一个锁形图标);自 2019 年以来,EV 在大多数浏览器中已不再触发绿色地址栏。
可以检查自签名或私有 CA 颁发的证书吗?
可以。页面会显示证书内容,但会标记为「不受信任」,因为该 CA 不在公共根证书库中。便于检查公司内部或测试用证书。
目标主机的数据会被泄露吗?
本检查工具与任何 TLS 客户端一样,从我们的后端连接目标主机的 443 端口。该主机会记录此次连接。请勿对禁止外部扫描的主机使用此工具。