ToolAct工具行动

SSL 证书检测工具

在线检测域名的 SSL/TLS 证书有效性、过期时间、证书链详情

输入域名,点击「检测」按钮查看 SSL 证书信息

什么是 SSL 证书检测?

SSL 证书检查器用于确认网站的 TLS 证书是否有效、是否匹配访问域名、证书链是否完整,以及是否即将过期。HTTPS 不只是浏览器里的锁形图标,它影响加密传输、服务器身份、用户信任、搜索表现、支付流程、API 集成和自动化客户端连接。这个工具适合运维、部署上线、安全审计和故障排查时使用,可以快速查看有效期、签发者、覆盖域名、证书链和协议相关信息。常见问题包括忘记续期、中间证书缺失、子域名未覆盖,或把证书安装到了错误环境。

如何使用

如何使用

  1. 输入您要检查的域名(例如 google.com)
  2. 默认端口是 443。如有特殊配置请修改。
  3. 点击「检查」按钮或按 Enter 开始检查
  4. 查看证书有效性、到期日期、TLS 协议版本等信息
  5. 展开证书链可查看每个证书的详细信息,包括颁发者、签名算法、SANs 等

证书提示

  • 请检查用户访问的完整主机名(含子域名),因为同一证书可能仅对部分名称生效,对其他名称可能不匹配。
  • 在 DNS、CDN、负载均衡器或续期更改后进行检查;即使域名相同,不同环境间的证书链也可能不同。

使用场景

从后端检查 HTTPS 证书健康状态输入域名和端口,通过网络 API 运行签名的 SSL 证书检查。探测过程中仅连接你输入的 host:port,不会触及其他端点或无关主机。结果会报告握手是否成功、协议版本、加密套件、整体有效期、过期状态、剩余天数和域名匹配情况。
查看证书链详情握手成功后,展开每张证书可查看主体、颁发者、序列号、签名算法、有效期、SAN 条目以及自签名或过期标记。这对于诊断中间证书链缺失、识别实际签发叶子证书的 CA,以及发现错误部署的证书非常有用。
提前发现续期和主机名问题状态横幅会高亮无效证书、已过期证书、即将过期和域名不匹配的情况。在 DNS 切换、CDN 迁移、负载均衡器变更和常规证书续期检查之前使用此工具很有帮助。将过期倒计时与你的自动续期窗口(Let's Encrypt 90 天、商业证书 1-3 年)进行对比,赶在浏览器警告出现之前完成续期。
子域名迁移时核对 SAN 覆盖范围握手完成后,SAN 列表会显示证书覆盖的所有主机名。在将 DNS 切换到新主机之前,将其与你的子域名清单进行对比,因为通配符证书可能不覆盖内部预发布主机或区域子域名,多域名 SAN 在重新签发时也可能遗漏了某个条目。现代浏览器在主机名匹配时忽略传统的 Subject CN 字段,仅依赖 SAN 扩展,因此一张 CN 正确但缺少 SAN 的证书在 Chrome、Firefox 和 Safari 中仍会触发域名不匹配错误,尽管旧版检测工具可能报告其为有效。
CA 迁移后验证中间证书链更换证书颁发机构或迁移到新的源站时,展开证书链中的每张证书,检查颁发者、签名算法(如 SHA-1 与 SHA-256)和有效期。不完整的中间证书包是 Linux 上握手失败的常见原因,而在 macOS 上可能不受影响,因此请从与用户相同类型的客户端验证证书包。证书链必须按叶子 -> 中间证书 -> 根证书的顺序排列,根证书无需在传输中发送,因为它们已内置在客户端信任存储中;启用 OCSP Stapling 后,TLS 握手会附带一个新鲜的吊销状态对象,客户端无需单独调用 CA 的 OCSP 响应器。

技术原理

SSL/TLS 证书遵循 X.509 标准。每张证书包含以下关键字段:Subject(持有者的域名或组织)、Issuer(签发 CA)、Validity(生效日期/过期日期)、Subject Public Key Info(公钥和算法)、Signature Algorithm(如 SHA256-RSA 或 ECDSA-SHA256),以及 X509v3 扩展(其中最重要的是 Subject Alternative Name 扩展)。在 TLS 握手过程中,服务器按顺序发送其证书链:叶子证书 -> 中间证书 -> 根证书(内置在浏览器中,无需发送)。客户端从叶子证书开始,逐级验证 Issuer 与父证书的 Subject 是否匹配,使用父证书的公钥验证子证书的签名,检查有效期窗口,并最终追溯到受信任的根证书。Let's Encrypt 签发的证书有效期仅为 90 天,设计为配合 certbot 等自动化工具使用;商业证书通常有效期为 1 到 3 年。SNI(Server Name Indication,服务器名称指示)允许单个 IP 托管多个 HTTPS 站点:客户端在握手时首先发送 SNI 扩展告知服务器目标主机名,服务器返回匹配的证书。OCSP(Online Certificate Status Protocol,在线证书状态协议)允许实时查询证书是否已被吊销,避免下载庞大的 CRL 列表。

  • X.509 证书字段:Subject(持有者)、Issuer、Validity、Public Key、Signature Algorithm 和 SAN 扩展
  • 证书链验证:从叶子证书开始,逐级检查 Issuer -> Subject 匹配,使用父证书的公钥验证子证书的签名,最终追溯到受信任的根证书
  • Let's Encrypt 证书默认有效期为 90 天,配合 certbot 等工具实现自动续期;商业证书通常有效期为 1 到 3 年
  • SNI(Server Name Indication)允许单个 IP 托管多个 HTTPS 站点;客户端在握手时声明目标主机名,服务器返回匹配的证书
  • OCSP 用于实时吊销状态检查,避免下载庞大的 CRL;主要 CA 也部署了 OCSP Stapling
  • 过期证书、弱签名算法(SHA-1)和密钥长度不足(RSA 低于 2048 位)都会触发现代浏览器的安全警告

示例

检查 GitHub 的证书

github.com — 颁发者 DigiCert TLS Hybrid ECC SHA384,剩余 67 天,协议 TLS 1.3,SAN 包含 github.com 和 *.github.com

检查 Google 的证书

google.com — 颁发者 WR2 (Google Trust Services),剩余 84 天,SAN 包含 *.google.com 和 google.com

检查自己的证书

blog.example.com — 颁发者 Let's Encrypt R10,剩余 23 天(建议尽快续签),签名算法 ECDSA-SHA256

常见问题

证书检查会显示哪些信息?

完整的证书链(叶子证书、中间证书、根证书)、有效期、签发 CA、Subject 中的 Common Name 与 Subject Alternative Names、签名算法、公钥类型/长度、证书序列号,以及证书链是否匹配可信根。我们的后端会连接目标主机的 443 端口,并报告其返回的证书链。

可以检查 443 以外端口的证书吗?

可以——以 host:port 形式输入即可(例如 example.com:8443)。部分版本还支持 IMAP(993)、SMTP(465/587)、POP3(995)等 TLS 端口。前提是协议本身使用纯 TLS 或本工具支持的 STARTTLS。

「N 天后过期」是什么意思?

指证书中的 notAfter 日期。过期后,现代浏览器会拒绝加载该站点。请至少在到期前 30 天设置自动续期。Let's Encrypt 证书有效期为 90 天,大多数运维人员会在第 60 天自动续期。

为什么我的证书在这里看着没问题,浏览器却报错?

常见原因:证书链顺序错误(服务器以错误顺序返回中间证书);缺少中间证书(服务器只返回了叶子证书);根证书不在浏览器的信任库中(私有 CA、未内置的政府 CA);SNI 不匹配(服务器为该域名返回了错误证书)。页面通常会标记这些问题。

DV、OV、EV 证书有什么区别?

域名验证(DV):仅验证域名控制权。组织验证(OV):还会核实公司是否真实存在。扩展验证(EV):执行更严格的企业资质审查。现代浏览器对这三种证书的展示方式相同(都只显示一个锁形图标);自 2019 年以来,EV 在大多数浏览器中已不再触发绿色地址栏。

可以检查自签名或私有 CA 颁发的证书吗?

可以。页面会显示证书内容,但会标记为「不受信任」,因为该 CA 不在公共根证书库中。便于检查公司内部或测试用证书。

目标主机的数据会被泄露吗?

本检查工具与任何 TLS 客户端一样,从我们的后端连接目标主机的 443 端口。该主机会记录此次连接。请勿对禁止外部扫描的主机使用此工具。