SSL证书检测工具(有效期与颁发者查询)
输入域名即可查看其SSL/TLS证书的到期日期、颁发者、SAN和指纹信息。剩余天数以颜色区分显示,帮助您避免因忘记续期而导致网站中断。
使用提示
- 请提前留出充裕时间检查证书到期日。建议在到期前2〜4周完成续期,以应对可能出现的操作问题。
- Let's Encrypt等免费证书的有效期仅90天,建议定期使用本工具确认自动续期功能是否正常运作。
- 浏览器地址栏的锁形图标只能显示证书当前是否有效,并不会显示剩余天数,而这正是本工具能弥补的空白。
- SAN(主题备用名称)字段中除了主域名外,还可能包含www子域名等多个主机名,值得留意是否包含了非预期的域名。
- 指纹是唯一标识证书的数值。若想确认证书是否已成功更换,比较更新前后的指纹是最可靠的方法。
常见问题
这取决于颁发机构和证书类型。Let's Encrypt等近年主流的免费证书有效期仅90天,而商用付费证书按照当前CA/Browser Forum的规定,最长也不超过1年(398天)。整个行业的最长有效期呈逐年缩短的趋势。
浏览器会显示“您与此网站的连接不是私密连接”等警告页面,大多数访客会因此立即离开。API对接和支付处理也会因连接错误而中断,因此提前完成续期非常重要。
这是一个扩展字段,用于让一张证书同时覆盖多个域名或子域名。例如同时覆盖example.com和www.example.com的证书,会在SAN字段中列出这两个名称。
自签名证书是网站所有者自行签发、未经第三方颁发机构验证的证书,浏览器不会信任它,会显示警告。如果本工具显示的“颁发者”是真实的证书颁发机构,则说明该证书已通过正规第三方机构的验证。
Let's Encrypt等免费证书的加密强度与付费证书完全相同,主要差异在于域名所有权验证等级(DV/OV/EV)和支持服务,在加密安全性上免费与付费证书并无本质区别。
闲话 ― SSL/TLS证书与证书颁发机构的历史
我们如今每天都在使用的HTTPS连接,其根源可以追溯到Netscape公司于1994年开发的SSL(安全套接层)。早期的SSL 2.0存在严重的安全漏洞,经过SSL 3.0过渡后,该协议于1999年被标准化为TLS(传输层安全协议)1.0。名称虽然改变了,但基于证书的公钥加密体系这一核心设计理念延续至今。
负责签发证书的证书颁发机构(CA)会在确认申请者确实拥有该域名的控制权后,才会签发带签名的证书。过去获取证书既费钱又费时,但2016年非营利组织ISRG推出免费证书颁发机构Let's Encrypt后,HTTPS化的门槛大幅降低。不过Let's Encrypt证书的有效期仅有90天,因此实际运维中必须依赖certbot等自动续期工具。
证书过期带来的影响远不止一个警告页面那么简单,有时甚至会演变为严重的服务中断事故。过去曾多次出现大型API服务乃至知名金融机构网站因忘记续期证书而长时间瘫痪的案例,这说明持续的监控机制始终是一项不可忽视的运维课题。