网络诊断工具

SSL 证书检测

检查网站的 TLS 证书和到期情况

什么是 SSL 证书?

站点的 TLS 证书用于证明其身份,并加密浏览器与服务器之间的流量。已过期、自签名或名称不匹配的证书会破坏信任,触发把访客赶走的浏览器警告。IPeek 直接连接到主机,读取实时证书,并报告其颁发机构、有效期、剩余天数、所覆盖的名称以及发现的任何问题。

TLS 证书如何证明身份

在 TLS 握手期间,服务器会出示一张由受信任证书颁发机构(CA)签名的证书。浏览器检查证书名称是否与主机名匹配、签名链是否指向其信任的根证书,以及当前日期是否落在有效期内。三项都通过,连接才会被加密并显示挂锁。人们仍习惯称之为"SSL",但多年来实际使用的协议一直是 TLS。IPeek 执行同样的握手,然后报告服务器返回的内容,而不只是渲染一个挂锁。

如何解读你的证书结果

先看剩余天数:低于 30 天意味着应尽快续期,负值则表示证书已过期、访客此刻已会看到警告。检查颁发机构,确认它是真正的 CA 而非自签名占位。主题备用名称(SAN)列表显示证书覆盖的每个主机名,因此一张覆盖 example.com 却遗漏 www.example.com 的证书在该变体上会验证失败。最后确认证书链完整;缺少中间证书在某些客户端能验证通过,但在另一些客户端会失败。

常见证书问题及修复方法

最常见的故障就是简单过期,续期并重载 Web 服务器即可修复。名称不匹配意味着主机名不在 SAN 列表中,需用正确的名称重新签发或添加通配符。"自签名"或"颁发机构不受信任"错误表示证书链未到达受信任的根,通常是因为中间证书没有与叶证书一起安装。任何修复后,都用 IPeek 重新检查,确认线路上实际提供的证书与你的预期一致,因为陈旧证书常常滞留在负载均衡器和 CDN 中。

何时需要做 SSL 证书检查

上线前以及每次迁移托管、更换 CDN 或轮换证书时都应检查,因为这些时刻最容易出现名称不匹配和证书链缺失。在到期日之前设置提醒,尤其是未启用自动续期的证书。当有访客报告浏览器安全警告时,这也是最快的诊断手段:检查会立即告诉你问题是过期、名称不匹配还是证书链损坏,让你据此行动而非靠猜。

常见问题

SSL 和 TLS 有什么区别?

二者承担同样的工作,但 TLS 是当前的协议。SSL 是最早的加密标准,已被 TLS 取代,如今每张"SSL 证书"实际上都使用 TLS。SSL 这个名字之所以沿用,是因为大家熟悉它,所以工具和厂商仍称 SSL,而连接本身协商的是 TLS 1.2 或 1.3。

我怎么知道我的 SSL 证书何时过期?

查看证书的有效期,它有一个固定的"not after"(截止)日期。IPeek 读取实时证书并报告剩余天数,让你一眼看出它是否仍然有效。请在该日期前续期;Let's Encrypt 签发的证书有效期为 90 天,而商业证书通常为一年。

为什么我的浏览器提示证书不受信任?

不受信任的警告通常意味着签名链未到达浏览器认可的某个根证书。常见原因是自签名证书、缺少中间证书或证书已过期。请在服务器上安装完整的证书链(叶证书加中间证书),或从受信任的 CA 重新签发,然后重新检查以确认所提供的证书能干净地通过验证。

证书上的 SAN 名称是什么?

主题备用名称(SAN)是单张证书所适用的主机名列表。证书只对其 SAN 列表中的名称受信任,因此 example.com 和 www.example.com 必须都出现,否则其中一个变体会抛出名称不匹配错误。像 *.example.com 这样的通配符条目覆盖同一层级下的所有子域名。

我可以不访问网站就检查证书吗?

可以。IPeek 通过 TLS 直接连接到主机,读取服务器出示的证书,并报告颁发机构、日期、SAN 名称和证书链,你无需在浏览器中打开该站点。这在上线前检查主机、检查重定向之后的主机,或只有域名却想确认它提供有效证书时都很有用。

相关工具

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어