检查网站的 TLS 证书和到期情况
DNS 与记录
DNS 查询 查询任意域名的全部 DNS 记录 A 记录查询 域名的 IPv4 地址 AAAA 记录查询 域名的 IPv6 地址 MX 查询 域名的邮件服务器 NS 查询 权威名称服务器 TXT 查询 TXT 记录、SPF、验证 CNAME 查询 规范名称(别名)记录 SOA 查询 起始授权机构记录 SRV 查询 服务位置记录 CAA 查询 哪些 CA 可以签发证书 反向 DNS(PTR) IP 地址到主机名 DNSSEC 检测 该域名是否已签名并通过验证? DNS 健康检测 完整的委派与 DNS 诊断报告电子邮件送达率
SPF 检测 验证您的发件人策略框架记录 DMARC 检测 检查并评估您的 DMARC 策略 DKIM 检测 查找并验证您的 DKIM 公钥 黑名单检测 对照电子邮件黑名单(DNSBL)检测 IP SMTP 测试 连接邮件服务器并检测 STARTTLS MTA-STS 检测 入站邮件的强制 TLS 策略 BIMI 检测 电子邮件的品牌徽标记录 TLS-RPT 检测 SMTP TLS 报告策略网络与网站
SSL 证书检测 检查网站的 TLS 证书和到期情况 HTTP 标头检测 检查响应标头、重定向和安全性 Ping(TCP) 通过 TCP 检测可达性和延迟 端口检测 哪些常用端口处于开放状态域名
WHOIS 查询 域名、IP 和 ASN 的注册数据站点的 TLS 证书用于证明其身份,并加密浏览器与服务器之间的流量。已过期、自签名或名称不匹配的证书会破坏信任,触发把访客赶走的浏览器警告。IPeek 直接连接到主机,读取实时证书,并报告其颁发机构、有效期、剩余天数、所覆盖的名称以及发现的任何问题。
在 TLS 握手期间,服务器会出示一张由受信任证书颁发机构(CA)签名的证书。浏览器检查证书名称是否与主机名匹配、签名链是否指向其信任的根证书,以及当前日期是否落在有效期内。三项都通过,连接才会被加密并显示挂锁。人们仍习惯称之为"SSL",但多年来实际使用的协议一直是 TLS。IPeek 执行同样的握手,然后报告服务器返回的内容,而不只是渲染一个挂锁。
先看剩余天数:低于 30 天意味着应尽快续期,负值则表示证书已过期、访客此刻已会看到警告。检查颁发机构,确认它是真正的 CA 而非自签名占位。主题备用名称(SAN)列表显示证书覆盖的每个主机名,因此一张覆盖 example.com 却遗漏 www.example.com 的证书在该变体上会验证失败。最后确认证书链完整;缺少中间证书在某些客户端能验证通过,但在另一些客户端会失败。
最常见的故障就是简单过期,续期并重载 Web 服务器即可修复。名称不匹配意味着主机名不在 SAN 列表中,需用正确的名称重新签发或添加通配符。"自签名"或"颁发机构不受信任"错误表示证书链未到达受信任的根,通常是因为中间证书没有与叶证书一起安装。任何修复后,都用 IPeek 重新检查,确认线路上实际提供的证书与你的预期一致,因为陈旧证书常常滞留在负载均衡器和 CDN 中。
上线前以及每次迁移托管、更换 CDN 或轮换证书时都应检查,因为这些时刻最容易出现名称不匹配和证书链缺失。在到期日之前设置提醒,尤其是未启用自动续期的证书。当有访客报告浏览器安全警告时,这也是最快的诊断手段:检查会立即告诉你问题是过期、名称不匹配还是证书链损坏,让你据此行动而非靠猜。
二者承担同样的工作,但 TLS 是当前的协议。SSL 是最早的加密标准,已被 TLS 取代,如今每张"SSL 证书"实际上都使用 TLS。SSL 这个名字之所以沿用,是因为大家熟悉它,所以工具和厂商仍称 SSL,而连接本身协商的是 TLS 1.2 或 1.3。
查看证书的有效期,它有一个固定的"not after"(截止)日期。IPeek 读取实时证书并报告剩余天数,让你一眼看出它是否仍然有效。请在该日期前续期;Let's Encrypt 签发的证书有效期为 90 天,而商业证书通常为一年。
不受信任的警告通常意味着签名链未到达浏览器认可的某个根证书。常见原因是自签名证书、缺少中间证书或证书已过期。请在服务器上安装完整的证书链(叶证书加中间证书),或从受信任的 CA 重新签发,然后重新检查以确认所提供的证书能干净地通过验证。
主题备用名称(SAN)是单张证书所适用的主机名列表。证书只对其 SAN 列表中的名称受信任,因此 example.com 和 www.example.com 必须都出现,否则其中一个变体会抛出名称不匹配错误。像 *.example.com 这样的通配符条目覆盖同一层级下的所有子域名。
可以。IPeek 通过 TLS 直接连接到主机,读取服务器出示的证书,并报告颁发机构、日期、SAN 名称和证书链,你无需在浏览器中打开该站点。这在上线前检查主机、检查重定向之后的主机,或只有域名却想确认它提供有效证书时都很有用。