ToolAct工具行動

SSL 憑證檢測工具

線上檢測網域的 SSL/TLS 憑證有效性、過期時間、憑證鏈詳情

輸入網域名稱,點選「檢測」按鈕查看 SSL 憑證資訊

什麼是 SSL 憑證檢測?

SSL 憑證檢測工具用於檢查網站的 SSL/TLS 憑證是否有效、是否即將過期、網域是否匹配等。SSL 憑證是 HTTPS 加密通訊的基礎,確保憑證有效可以保障網站安全和使用者資料隱私。透過本工具,您可以快速瞭解目標網站的憑證狀態、加密協定版本、憑證鏈詳情等關鍵資訊,是網站維運和安全檢測的必備工具。 安全相關結果不能孤立判斷,還要結合金鑰、使用情境、演算法選擇和可信來源一起評估。

使用方式

使用方式

  1. 輸入要檢查的網域名稱(例如 google.com)
  2. 預設連接埠為 443,如有需要可自行調整
  3. 點選「檢查」按鈕或按下 Enter 開始檢查
  4. 查看憑證有效性、到期日、TLS 協定版本等資訊
  5. 展開憑證鏈可查看每張憑證的詳細資訊,包括簽發者、簽章演算法、SAN 等

憑證小提示

  • 檢查使用者實際造訪的主機名稱(包含子網域),因為憑證可能對某個名稱有效,卻與另一個名稱不相符。
  • 在 DNS、CDN、負載平衡器或憑證更新後重新檢查;即使網域相同,不同環境的憑證鏈也可能不同。

使用場景

從後端檢查 HTTPS 憑證狀態輸入網域和連接埠,透過網路 API 執行簽章的 SSL 憑證檢查。探測過程只會連線你輸入的 host:port,不會觸及其他端點或無關主機。結果會回報交握是否成功、協定、加密套件、整體有效性、過期狀態、剩餘天數和網域匹配情況。
檢視憑證鏈詳情交握成功後,展開每張憑證可查看持有者、簽發者、序號、簽章演算法、有效期、SAN 項目,以及是否為自簽憑證或已過期。這在診斷中間憑證鏈斷裂、確認哪個 CA 實際簽發了葉子憑證,以及發現錯誤部署的憑證時特別有用。
提前發現續約和主機名稱問題狀態橫幅會醒目提示無效憑證、已過期憑證、即將過期和網域不匹配的情況。在 DNS 切換、CDN 遷移、負載平衡器變更和例行憑證續約檢查前使用都很合適。將過期倒數與你的自動續約時間窗進行對比(Let's Encrypt 90 天、商業憑證 1-3 年),在瀏覽器警告出現之前做好準備。
子網域遷移時交叉檢查 SAN 覆蓋範圍交握完成後,SAN 清單會顯示憑證有效的所有主機名稱。在將 DNS 切換到新主機前,將其與子網域清單進行對比,因為萬用字元憑證可能未涵蓋內部預發布主機或區域子網域,多網域 SAN 憑證在重新簽發時也可能遺漏了某個項目。現代瀏覽器在主機名稱匹配時已忽略傳統的 Subject CN 欄位,僅依賴 SAN 擴展,因此 CN 正確但 SAN 缺失的憑證,在 Chrome、Firefox 和 Safari 中仍會觸發網域不匹配錯誤,即使較舊的檢測工具可能回報為有效。
CA 遷移後驗證中間憑證鏈更換憑證簽發機構或遷移來源主機時,展開憑證鏈中的每張憑證,檢查簽發者、簽章演算法(如 SHA-1 與 SHA-256)和有效期。不完整的中間憑證包是 Linux 上交握失敗的常見原因,但在 macOS 上通常沒問題,因此應以使用者實際執行的客戶端類型來驗證憑證包。憑證鏈必須按順序排列:葉子憑證 -> 中間憑證 -> 根憑證(根憑證內建於客戶端信任庫,無需在網路上傳輸);啟用 OCSP Stapling 時,會在 TLS 交握中附加即時的撤銷狀態物件,客戶端無需自行呼叫 CA 的 OCSP 回應器。

技術原理

SSL/TLS 憑證遵循 X.509 標準。每張憑證包含以下關鍵欄位:Subject(持有者的網域或組織)、Issuer(簽發的 CA)、Validity(生效日期 / 失效日期)、Subject Public Key Info(公開金鑰與演算法)、Signature Algorithm(如 SHA256-RSA 或 ECDSA-SHA256),以及 X509v3 擴展(其中最重要的是 Subject Alternative Name 擴展)。在 TLS 交握期間,伺服器按順序傳送其憑證鏈:葉子憑證 -> 中間憑證 -> 根憑證(根憑證內建於瀏覽器中,無需傳送)。客戶端從葉子憑證開始,在每一層驗證 Issuer 是否與上一層的 Subject 匹配,使用上一層的公開金鑰驗證子憑證的簽章,檢查有效期間,最終回溯到受信任的根。Let's Encrypt 簽發的憑證有效期僅 90 天,設計用於搭配 certbot 等自動化工具使用;商業憑證通常有效期為 1 至 3 年。SNI(Server Name Indication)允許單一 IP 托管多個 HTTPS 站點:客戶端在交握期間先傳送 SNI 擴展告知伺服器目標主機名稱,伺服器回傳匹配的憑證。OCSP(Online Certificate Status Protocol)允許即時查詢憑證是否已被撤銷,避免下載龐大的 CRL 清單。

  • X.509 憑證欄位:Subject(持有者)、Issuer、Validity、公開金鑰、簽章演算法以及 SAN 擴展
  • 憑證鏈驗證:從葉子憑證開始,逐層檢查 Issuer -> Subject 匹配,使用上一層的公開金鑰驗證子憑證的簽章,最終回溯到受信任的根
  • Let's Encrypt 憑證預設有效期為 90 天,搭配 certbot 及類似工具自動續約;商業憑證通常有效期為 1 至 3 年
  • SNI(Server Name Indication)讓單一 IP 托管多個 HTTPS 站點;客戶端在交握期間宣告目標主機名稱,並接收匹配的憑證
  • OCSP 用於即時撤銷檢查,避免下載龐大的 CRL;主要 CA 也部署了 OCSP Stapling
  • 過期憑證、弱簽章演算法(SHA-1)以及金鑰長度不足(RSA 低於 2048 位元)都會觸發現代瀏覽器的安全警告

範例

檢查 GitHub 的憑證

github.com — 簽發者 DigiCert TLS Hybrid ECC SHA384,剩餘 67 天,協定 TLS 1.3,SAN 包含 github.com 與 *.github.com

檢查 Google 的憑證

google.com — 簽發者 WR2(Google Trust Services),剩餘 84 天,SAN 包含 *.google.com 與 google.com

檢查自己的憑證

blog.example.com — 簽發者 Let's Encrypt R10,剩餘 23 天(建議盡快續簽),簽章演算法 ECDSA-SHA256

常見問題

憑證檢查會顯示哪些資訊?

完整的憑證鏈(葉憑證、中繼憑證、根憑證)、有效期限、發行 CA、Subject 的 Common Name 與 Subject Alternative Names、簽章演算法、公開金鑰類型/長度、憑證序號,以及憑證鏈是否能對應到受信任的根憑證。我們的後端會連線到目標主機的 443 埠並回報所看到的憑證鏈。

可以檢查非 443 埠的憑證嗎?

可以——指定 host:port(例如 example.com:8443)即可。部分版本還支援 IMAP(993)、SMTP(465/587)、POP3(995)等其他 TLS 埠。協定必須是純 TLS 或本頁支援的 STARTTLS。

「N 天後到期」是什麼意思?

指憑證中的 notAfter 日期,過了這個日期後現代瀏覽器就會拒絕載入網站。請至少在到期前 30 天設定自動續發。Let's Encrypt 的憑證效期為 90 天,多數運維會在第 60 天時自動續發。

為什麼憑證在這裡看起來正常,瀏覽器卻打不開?

常見原因有:憑證鏈順序錯誤(伺服器以錯誤順序送出中繼憑證);缺少中繼憑證(伺服器只送出葉憑證);根憑證不在瀏覽器信任清單中(私有 CA、未內建的政府 CA);SNI 不符(伺服器回傳了與您主機名不對應的憑證)。本頁面通常會把這些問題逐一標示出來。

DV、OV 與 EV 憑證有什麼差別?

Domain Validation(DV):僅驗證網域控制權。Organization Validation(OV):驗證公司是否實際存在。Extended Validation(EV):更嚴格的商業實體查核。現代瀏覽器對三者都顯示相同的小鎖頭圖示;自 2019 年起,多數瀏覽器已不再為 EV 顯示綠色網址列。

可以檢查自簽憑證或私有 CA 簽發的憑證嗎?

可以。本頁會顯示憑證內容,並標示為「不受信任」,因為發行 CA 不在公開的根憑證清單中。對於檢視自家企業或測試環境的憑證很實用。

目標主機的資料會外洩嗎?

本檢查會從我們的後端對目標主機的 443 埠發起連線,與一般 TLS 客戶端無異,目標主機會在其紀錄中看到該連線。請不要對禁止外部掃描的主機使用本工具。