SSL 憑證檢測工具
線上檢測網域的 SSL/TLS 憑證有效性、過期時間、憑證鏈詳情
輸入網域名稱,點選「檢測」按鈕查看 SSL 憑證資訊
什麼是 SSL 憑證檢測?
SSL 憑證檢測工具用於檢查網站的 SSL/TLS 憑證是否有效、是否即將過期、網域是否匹配等。SSL 憑證是 HTTPS 加密通訊的基礎,確保憑證有效可以保障網站安全和使用者資料隱私。透過本工具,您可以快速瞭解目標網站的憑證狀態、加密協定版本、憑證鏈詳情等關鍵資訊,是網站維運和安全檢測的必備工具。 安全相關結果不能孤立判斷,還要結合金鑰、使用情境、演算法選擇和可信來源一起評估。
使用方式
使用方式
- 輸入要檢查的網域名稱(例如 google.com)
- 預設連接埠為 443,如有需要可自行調整
- 點選「檢查」按鈕或按下 Enter 開始檢查
- 查看憑證有效性、到期日、TLS 協定版本等資訊
- 展開憑證鏈可查看每張憑證的詳細資訊,包括簽發者、簽章演算法、SAN 等
憑證小提示
- 檢查使用者實際造訪的主機名稱(包含子網域),因為憑證可能對某個名稱有效,卻與另一個名稱不相符。
- 在 DNS、CDN、負載平衡器或憑證更新後重新檢查;即使網域相同,不同環境的憑證鏈也可能不同。
使用場景
技術原理
SSL/TLS 憑證遵循 X.509 標準。每張憑證包含以下關鍵欄位:Subject(持有者的網域或組織)、Issuer(簽發的 CA)、Validity(生效日期 / 失效日期)、Subject Public Key Info(公開金鑰與演算法)、Signature Algorithm(如 SHA256-RSA 或 ECDSA-SHA256),以及 X509v3 擴展(其中最重要的是 Subject Alternative Name 擴展)。在 TLS 交握期間,伺服器按順序傳送其憑證鏈:葉子憑證 -> 中間憑證 -> 根憑證(根憑證內建於瀏覽器中,無需傳送)。客戶端從葉子憑證開始,在每一層驗證 Issuer 是否與上一層的 Subject 匹配,使用上一層的公開金鑰驗證子憑證的簽章,檢查有效期間,最終回溯到受信任的根。Let's Encrypt 簽發的憑證有效期僅 90 天,設計用於搭配 certbot 等自動化工具使用;商業憑證通常有效期為 1 至 3 年。SNI(Server Name Indication)允許單一 IP 托管多個 HTTPS 站點:客戶端在交握期間先傳送 SNI 擴展告知伺服器目標主機名稱,伺服器回傳匹配的憑證。OCSP(Online Certificate Status Protocol)允許即時查詢憑證是否已被撤銷,避免下載龐大的 CRL 清單。
- X.509 憑證欄位:Subject(持有者)、Issuer、Validity、公開金鑰、簽章演算法以及 SAN 擴展
- 憑證鏈驗證:從葉子憑證開始,逐層檢查 Issuer -> Subject 匹配,使用上一層的公開金鑰驗證子憑證的簽章,最終回溯到受信任的根
- Let's Encrypt 憑證預設有效期為 90 天,搭配 certbot 及類似工具自動續約;商業憑證通常有效期為 1 至 3 年
- SNI(Server Name Indication)讓單一 IP 托管多個 HTTPS 站點;客戶端在交握期間宣告目標主機名稱,並接收匹配的憑證
- OCSP 用於即時撤銷檢查,避免下載龐大的 CRL;主要 CA 也部署了 OCSP Stapling
- 過期憑證、弱簽章演算法(SHA-1)以及金鑰長度不足(RSA 低於 2048 位元)都會觸發現代瀏覽器的安全警告
範例
檢查 GitHub 的憑證
github.com — 簽發者 DigiCert TLS Hybrid ECC SHA384,剩餘 67 天,協定 TLS 1.3,SAN 包含 github.com 與 *.github.com檢查 Google 的憑證
google.com — 簽發者 WR2(Google Trust Services),剩餘 84 天,SAN 包含 *.google.com 與 google.com檢查自己的憑證
blog.example.com — 簽發者 Let's Encrypt R10,剩餘 23 天(建議盡快續簽),簽章演算法 ECDSA-SHA256常見問題
憑證檢查會顯示哪些資訊?
完整的憑證鏈(葉憑證、中繼憑證、根憑證)、有效期限、發行 CA、Subject 的 Common Name 與 Subject Alternative Names、簽章演算法、公開金鑰類型/長度、憑證序號,以及憑證鏈是否能對應到受信任的根憑證。我們的後端會連線到目標主機的 443 埠並回報所看到的憑證鏈。
可以檢查非 443 埠的憑證嗎?
可以——指定 host:port(例如 example.com:8443)即可。部分版本還支援 IMAP(993)、SMTP(465/587)、POP3(995)等其他 TLS 埠。協定必須是純 TLS 或本頁支援的 STARTTLS。
「N 天後到期」是什麼意思?
指憑證中的 notAfter 日期,過了這個日期後現代瀏覽器就會拒絕載入網站。請至少在到期前 30 天設定自動續發。Let's Encrypt 的憑證效期為 90 天,多數運維會在第 60 天時自動續發。
為什麼憑證在這裡看起來正常,瀏覽器卻打不開?
常見原因有:憑證鏈順序錯誤(伺服器以錯誤順序送出中繼憑證);缺少中繼憑證(伺服器只送出葉憑證);根憑證不在瀏覽器信任清單中(私有 CA、未內建的政府 CA);SNI 不符(伺服器回傳了與您主機名不對應的憑證)。本頁面通常會把這些問題逐一標示出來。
DV、OV 與 EV 憑證有什麼差別?
Domain Validation(DV):僅驗證網域控制權。Organization Validation(OV):驗證公司是否實際存在。Extended Validation(EV):更嚴格的商業實體查核。現代瀏覽器對三者都顯示相同的小鎖頭圖示;自 2019 年起,多數瀏覽器已不再為 EV 顯示綠色網址列。
可以檢查自簽憑證或私有 CA 簽發的憑證嗎?
可以。本頁會顯示憑證內容,並標示為「不受信任」,因為發行 CA 不在公開的根憑證清單中。對於檢視自家企業或測試環境的憑證很實用。
目標主機的資料會外洩嗎?
本檢查會從我們的後端對目標主機的 443 埠發起連線,與一般 TLS 客戶端無異,目標主機會在其紀錄中看到該連線。請不要對禁止外部掃描的主機使用本工具。