免费 SSL证书检查器 — 立即验证 HTTPS安全性
一键检查任何域的 SSL证书状态、到期日期、颁发者和主机名有效性。无需安装。
为什么 SSL证书健康很重要
此 SSL检查器验证什么
我们针对您的域执行实时 TLS握手并返回详细的证书数据。
了解 SSL状态结果
每种状态都有不同的含义——以下是如何处理每种状态。
| 地位 | 意义 |
|---|---|
| 有效的 | 受信任的 CA、主机名匹配、未过期、链经过验证 |
| 已到期 | 证书已通过有效期 |
| 尚未有效 | 证书已颁发,但开始日期是将来的日期 |
| 自签名 | 未由受信任的证书颁发机构签名 |
| 主机名不匹配 | 查询的域未在 CN 或 SAN 中列出 |
| 无效的 | 证书链验证失败 |
| 无法到达的 | 域在端口 443 上没有响应 |
这个工具适合谁
SSL监控与运行 website、API 或电子邮件基础设施的任何人相关。
Web 开发人员检查新部署的域
DevOps 和系统管理员监控证书续订
安全团队审核跨多个域的 SSL状态
营销团队在广告活动之前验证着陆页 HTTPS
域名所有者在续订截止日期之前检查到期日期
检查后做什么
不同的结果需要不同的修复步骤。
已到期
立即续订。通过托管提供商的仪表板运行 certbot续订或重新发布。确保自动续订处于活动状态以防止再次发生。
自签名
替换为来自受信任 CA 的证书。 Let's Encrypt为任何域提供免费的自动续订证书。
主机名不匹配
重新颁发证书并在主题备用名称中包含不匹配的域。通配符证书 (*.example.com) 涵盖所有直接子域。
无效链
从 CA 文档下载并安装缺少的中间证书包。大多数链问题是由缺少中间体引起的,而不是叶子证书。
30 天内到期
通过 ACME/Certbot启用自动续订或设置日历提醒。主动续订可防止此处显示的过期状态进入生产状态。
常见问题解答
这个 SSL检查工具有什么作用?
它在端口 443 上针对您的域执行实时 TLS握手,并返回证书的状态、颁发者、有效起始日期和有效截止日期、剩余天数、主题备用名称 (SAN) 以及证书是否是自签名的或主机名不匹配。
“有效”SSL状态是什么意思?
有效意味着证书由受信任的证书颁发机构 (CA) 颁发,证书上的主机名与查询的域匹配,证书尚未过期,开始日期已过,并且可以根据公共 CA 根验证证书链。
如果我的 SSL证书已过期,我该怎么办?
certbot renew 或检查您的自动续订 cron。对于付费证书,请登录您的 CA 仪表板并重新颁发。
什么是自签名证书?为什么会出现问题?
自签名证书由自己的私钥而不是受信任的 CA 签名。默认情况下,浏览器不信任它们并显示“您的连接不是私有的”警告。自签名证书适用于内部开发环境,但绝不能用于面向公众的域。
是什么导致 SSL主机名不匹配?
当您查询的域(例如 www.example.com)未在证书的公用名 (CN) 或使用者备用名称 (SAN) 中列出时,就会发生主机名不匹配。当为根域而不是 www 子域颁发证书(反之亦然)时,或者使用不涵盖所查询的特定子域的通配符证书时,就会发生这种情况。
我应该提前多久更新我的 SSL证书?
至少在到期前 30 天更新。大多数自动化系统(Let's Encrypt通过 Certbot、AWSACM自动更新)会自动处理此问题。对于手动管理的证书,请在此工具中显示的到期日期前 60 天和 30 天设置日历提醒。
SSL状态是否会影响电子邮件的送达率?
间接是的。许多电子邮件身份验证流(基于 MTA-STS、DANE、HTTPS的 DMARC报告端点)需要有效的 TLS证书。此外,如果您的电子邮件注册或登录页面的 SSL证书已损坏,用户可能会放弃该表单,从而降低列表增长和参与率。
SSL和 TLS有什么区别?
SSL(安全套接字层)是 TLS(传输层安全)的已弃用前身。所有现代“SSL证书”实际上都使用TLS1.2或TLS1.3。尽管底层协议是 TLS,但术语“SSL证书”仍然广泛使用。该工具测试 TLS连接性,这是所有当前浏览器和电子邮件客户端使用的。
我可以检查 SSL的子域吗?
是的。输入完整的子域 - 例如,mail.example.com 或 app.example.com。该工具专门连接到该主机名的端口 443。通配符证书 (*.example.com) 将显示为对任何直接子域有效,但对子子域无效。
该工具是否存储我的域数据?
不会。所有查找都是实时执行的,并且不会存储任何域数据或将其用于分析。每个查询都是无状态的。