hero-generate

SSL 检查器

检查 SSL 证书详细信息
请稍候,我们将检查有效性、安全性和配置...

上方的 SSL checker 对任何面向公众的 SSL/TLS 证书进行全面诊断,并返回详细报告,涵盖安全评级、证书链、密码套件、漏洞扫描及浏览器兼容性。以下各节说明如何解读报告的每个部分。

了解您的 SSL 安全评级

每次 SSL checker 扫描都会产生一个从 A+F 的字母等级,以及一个满分 100 的数字评分。

  • AA+ 表示证书安装正确、使用现代加密技术,且服务器已启用正确的安全功能。
  • B 级证书可正常使用,但存在可加固的空间。
  • C 及以下通常指向已弃用的 TLS 版本、缺失的安全功能,或即将到期的证书。

评分按五个类别加权计算:

  • 证书(有效性与算法)
  • 信任(受认可的证书颁发机构及链完整性)
  • 协议(支持的 TLS 版本,已禁用弃用协议)
  • 功能(HSTS、OCSP Stapling、Perfect Forward Secrecy、CAA)
  • 有效期(距到期的剩余时间)

大多数评级下降来自”功能”类别。证书本身有效,证书链正常,协议也是最新的,但 HSTS 未配置或 CAA 记录未发布。这些是服务器端和 DNS 端的修复问题,而非证书问题。


解读您的证书详情

SSL checker 会逐字段分解链中的每张证书。

通用名称 (Common Name) — 证书颁发的主要域名。它必须与被检查的 URL 匹配,否则浏览器将拒绝连接。

颁发者 (Issued By) — 颁发的中间证书及其上级证书颁发机构。SectigoDigiCertGeoTrust 或 Google Trust Services 等知名机构会被自动信任。不知名的颁发者或任何”自签名”证书都会触发警告。

有效期起始 / 有效期截止 (Valid From / Valid To) — 证书的有效期窗口。”有效期起始”比人们预期的更重要:如果服务器时钟有误或证书安装过早,浏览器会以”尚未生效”为由拒绝该证书。

签名算法 (Signature Algorithm) — 现代证书使用 SHA-256、SHA-384 或 ecdsa-with-SHA256。SHA-1 多年前已被弃用,任何仍在使用它的证书都应重新颁发。

公钥 (Public Key) — RSA 2048 位或更高是标准配置。ECC 256 位是现代替代方案,可生成更小、更快的证书。

SAN(主题备用名称) — 证书涵盖的其他主机名。通配符(如 *.example.com)覆盖所有单级子域名。多域名证书在此列出每个受保护的主机名。对于 DVOVEV 证书,SAN 列表精确定义了该证书将验证的域名范围。


SSL 证书安全功能详解

除证书本身外,SSL checker 还会报告六项安全功能的状态。

OCSP Stapling — 服务器从 CA 预先获取自身的吊销状态,并在 443 端口的 TLS 握手中附带该信息。”不支持”会为每次连接增加延迟。通常在 Apache、Nginx 或 IIS 中修改一行配置即可解决。

完全前向保密 (Perfect Forward Secrecy, PFS) — 每个会话使用唯一密钥,因此未来的私钥泄露无法解密过去的流量。”不支持”意味着已记录的会话可能被事后解密。通过优先使用 ECDHE 密码套件来启用此功能。

证书透明度 (Certificate Transparency, CT) — 已颁发的证书会被记录到公开的 CT 日志中,让域名所有者能够检测到错误颁发行为。公共证书显示”不支持”的情况较为罕见。

HSTS(HTTP 严格传输安全) — 一个服务器响应头,告知浏览器拒绝明文 HTTP 连接。没有 HSTS,攻击者可以将访客从 HTTPS 降级并拦截流量。在 Web 服务器配置中添加 Strict-Transport-Security 响应头即可启用。

证书吊销状态 (Certificate Revocation Status) — 检查器查询 OCSP 和 CRL 以确认证书未被吊销。”Good”表示有效;”Revoked”表示浏览器将拒绝该证书,需立即重新颁发;CRL 返回”Unknown”很常见,只要 OCSP 返回 Good 就不是问题。

DNS CAA 记录 — 一条 DNS 记录,列出哪些证书颁发机构可以为该域名颁发证书。没有此记录,任何 CA 在技术上都可以颁发证书。请在 DNS 提供商处添加 CAA 记录,列出您使用的 CA。


TLS 漏洞扫描结果

系统会扫描五种已知 TLS 漏洞。大多数服务器多年前已完成修补,因此 SSL checker 通常会确认一切正常。

Heartbleed(CVE-2014-0160) — 一个 OpenSSL 内存读取漏洞,可暴露私钥。”安全”表示服务器运行的是已修补的 OpenSSL 版本。

POODLE(CVE-2014-3566) — 针对 SSLv3 的填充预言攻击。”安全”表示 SSLv3 已被禁用。

BEAST(CVE-2011-3389) — TLS 1.0 密码块链接缺陷。”安全”表示 TLS 1.0 已被禁用,或服务器使用了不受影响的密码套件。

ROBOT(CVE-2017-13099) — Bleichenbacher 预言威胁的回归。一个 RSA 填充缺陷,在许多厂商实现中重新出现。”安全”表示服务器未暴露存在漏洞的密钥交换。

Ticketbleed(CVE-2016-9244) — F5 BIG-IP 特有的通过 TLS 会话票据导致的内存信息泄露漏洞。”安全”表示没有未修补的 F5 设备。


密码套件与协议支持

SSL checker 将支持的密码套件分组归类于 TLS 1.3、TLS 1.2 和”弱”三个类别。

  • TLS 1.3 拥有少量经过设计即安全的套件。
  • TLS 1.2 密码套件质量参差不齐,这也是每个套件被单独列出的原因。
  • 列标记了应被禁用的已弃用协议或密码:SSLv3、TLS 1.0、TLS 1.1、RC4、3DES,以及任何 NULL 或 EXPORT 密码。

密码套件名称遵循可预测的结构。以 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 为例:

  • ECDHE 是密钥交换算法(提供完全前向保密)
  • ECDSA 是签名算法
  • AES_256_GCM 是对称加密算法
  • SHA384 是哈希函数

128 位256 位 AES 均是安全的。


证书链验证

报告以三个层级展示完整的证书链:

  • 服务器证书
  • 中间证书
  • 证书

每个层级由上一级签名,且证书链必须终止于浏览器已信任的根证书。

“链完整 (Chain Complete)” 表示浏览器可以从服务器证书顺利追溯到根证书。

“不完整 (Incomplete)” 表示服务器发送的内容中缺少一个或多个中间证书,导致浏览器无法将证书链接回受信任的根证书,访客将看到安全警告。

不完整的证书链是最常见的 SSL 安装问题之一,SSL checker 会在报告顶部标记此问题。解决方法几乎总是使用 CA 提供的完整链捆绑包重新安装。不同服务器的操作路径有所不同:Apache 使用链文件指令,Nginx 需要 fullchain.pem,IIS 则通过证书导入向导处理链重建。


检查 SSL 证书到期时间

SSL checker 在两处显示到期信息:顶部摘要显示剩余天数和”有效期截止”日期,链中的每张证书也显示其各自的有效期窗口。

根据 CA/Browser Forum Ballot SC-081v3,公共 SSL/TLS 证书的有效期正在逐步缩短。自 2026 年 3 月 15 日起,最长有效期从 398 天降至 200 天;自 2027 年 3 月 15 日起降至 100 天;自 2029 年 3 月 15 日起降至 47 天。

对于 200 天有效期的证书,每月检查一次并在剩余 30 天时设置提醒即可。等到 47 天有效期的证书普及时,手动续期将变得不切实际。标准解决方案是基于 ACME 的自动化,它允许服务器无需人工干预即可请求和续期证书。


浏览器兼容性 — 何时需要关注

SSL checker 针对 13 种浏览器和设备组合测试证书兼容性。现代浏览器(Chrome 80+、Firefox 80+、Safari 14+、Edge 80+、Opera 70+、iOS 15+ Safari、Android 10+)在当前证书下应始终显示”支持”。

Android 5-7 和 iOS 12 等较旧的移动平台通常显示部分支持。这是否重要取决于您的受众群体。Internet Explorer 10 和 11 等旧版桌面浏览器在现代证书上几乎总是失败,因为它们默认不支持 TLS 1.2。在 2026 年,所有现代浏览器均显示绿色而总分为 9/13 是正常现象。


何时运行 SSL 检查

仅在安装后检查一次是不够的。请在以下情况运行 SSL checker:

  • 安装新证书后
  • 200 天周期内到期前 30 天
  • 每次续期或重新颁发后
  • 服务器迁移或 IP 变更后
  • 更换证书颁发机构后
  • 切换到通配符或多域名配置后
  • 启用 HSTS、OCSP Stapling 或任何 TLS 配置更改后

常见问题

我应该多久检查一次我的 SSL 证书?

每月检查是一个合理的基准。由于200天证书现在是最长期限,请设置一个硬性提醒,在过期前30天运行完整检查。在续期后运行额外检查,因为链捆绑错误是续期后最常见的问题。

复制链接

我的 SSL 安全评级需要达到多少?

目标是获得 A 或 A+ 评级。B 级在所有浏览器中都能正常工作,但评级差距通常指向可修复的问题。大多数评级下降可追溯到 SSL 检查工具在安全功能面板中标记的两个项目:缺少 HSTS 标头或未配置的 CAA 记录。这两者都不需要修改证书。

复制链接

报告显示”不完整的链”是什么意思?

您的服务器没有发送浏览器需要的所有中间证书。快速解决方案:Apache 使用 SSLCertificateChainFile 或组合包,Nginx 需要 fullchain.pem 文件,IIS 通过证书导入向导重建链。

复制链接

我可以检查内部或本地主机名的SSL证书吗?

不能,公共检查工具无法访问防火墙后面的内部主机。从同一网络上的机器运行 openssl s_client -connect host:443 -servername host 可以获得等效的输出。OpenSSL 命令行工具随大多数 Linux 发行版一起提供,也可用于 Windows。

复制链接

SSL Checker 是否适用于任何证书颁发机构颁发的证书?

是的。它可以读取服务器呈现的任何证书,包括来自 Sectigo、DigiCert、GeoTrust、RapidSSL、Thawte、GoGetSSL、Let’s Encrypt、Google Trust Services 等的证书。SSL Dragon 的 SSL 证书目录并排涵盖了其中六个 CA。

复制链接

为什么报告显示”Not Supported”HSTS,尽管我的SSL正常工作?

HSTS 是一个服务器响应头,不是证书的一部分。证书可以完全有效,而 HSTS 保持未配置状态。在 Web 服务器配置中添加它:Apache 使用 Header always set Strict-Transport-Security,Nginx 使用 add_header Strict-Transport-Security

复制链接