限时优惠:首次付款享 50% 折扣。

检查您的 SSL 证书

免费校验任意域名所提供的 SSL/TLS 证书。几秒内查看颁发机构、有效期、主机名覆盖范围以及是否自签名。

输入您的域名

您今天还有 5 次免费检查机会。

什么是 SSL 证书?

SSL/TLS 证书是由可信证书颁发机构(CA)签名的数字文档,将一个公钥绑定到一个或多个主机名。客户端连接时,服务器在 TLS 握手中出示证书,客户端会校验 CA 签名、有效期窗口,以及其中列出的某个名称是否与目标主机匹配。

尽管沿用了旧称,现代证书使用的是 TLS(如今为 TLS 1.2 与 1.3),而非已弃用的 SSL。X.509 证书格式与 PKI 链定义于 RFC 5280,HTTPS 特有行为则定义于 RFC 2818。

为什么要检查 SSL 证书?

1避免突然到期

证书一旦过期,浏览器与现代邮件客户端立即停止工作——请主动监控剩余天数

2确认主机名覆盖

证书只对 SAN 列表中的主机名有效——请逐一核对每个对外子域名

3识别不受信任的证书链

自签名或来自未知 CA 的证书会触发浏览器警告——在用户察觉之前提前发现

4审计邮件的 STARTTLS

邮箱服务商期望 MX 端点能正确完成 TLS 协商——证书损坏会悄悄拖累送达率

SSL 验证流程——逐步说明

1

客户端向您的域名建立 TLS 连接并发送 ClientHello。

2

服务器返回证书链:叶子证书加上任何中间 CA 证书。

3

客户端沿链路向上验证,直到信任库中预置的某个受信根 CA。

4

逐一校验每个证书的签名、是否在有效期内、以及是否被吊销。

5

最后校验叶子证书的 SAN 列表是否包含客户端尝试访问的主机名。

6

全部通过后握手完成,并交换会话密钥。

证书关键字段一览

使用 openssl 检查证书
echo | openssl s_client -servername example.com -connect example.com:443 2>/dev/null \
  | openssl x509 -noout -text

关键证书字段

Issuer— 为该证书签名的证书颁发机构
Subject CN— 传统的主主机名字段
SAN— 现代意义上有效主机名的列表
Not Before / After— 有效期窗口
Key Usage— 允许的操作(服务器认证等)

常见 SSL 故障与修复

证书已过期

立即续签并建立监控——多数团队会在剩余 30 天时告警

主机名不匹配

所测试的主机名不在 SAN 中——重新颁发并加入缺失名称或正确的通配符

自签名证书

浏览器会拒绝——改用免费的 Let's Encrypt 或由 CDN 管理的证书

证书链不完整

若中间证书缺失,部分客户端将无法校验链路——请在服务器配置中将其与叶子证书一并发布

常见问题

常见问题解答

SSL/TLS 检查器会确认域名所提供的证书是否由受信任的 CA 签发,证书的 Subject 与 Subject Alternative Names 是否覆盖所测试的主机名,证书是否处于有效期内,以及证书是否为自签名。这些检查综合起来即可证明浏览器或邮件客户端会信任该连接。

证书一旦过期,所有浏览器都会显示安全警告,多数现代邮件客户端会拒绝 STARTTLS。任由 SSL 过期会同时拖垮网页访问与认证邮件提交。监控剩余天数可为续签留出缓冲——多数团队会在剩余 30 天以下时告警。

当证书的 SAN 列表中不包含您所测试的确切名称时就会出现该提示。常见原因包括:用仅覆盖根域的证书测试 www 子域名、缺少多层子域名所需的通配符、或在共享 IP 上错误地服务了不同虚拟主机。请使用正确的 SAN 条目重新颁发证书。

会,但属间接影响。邮箱服务商期望 MX、SMTP 提交以及跟踪域名端点能成功完成 TLS 协商。证书损坏或过期会迫使降级为明文或导致投递失败,长期会拉低声誉。让所有与邮件相关的域名都保持“绿色挂锁”,是健康认证态势的一部分。

通过您的托管服务商或证书颁发机构重新签发证书,或使用 Let's Encrypt 这类服务启用自动续订,以防今后再次过期。安装新证书后,运行 SSL 检查工具确认到期日期和证书链均有效。

发件基础设施上的过期证书可能会中断 TLS 连接,并削弱接收方所看重的信任信号,从而可能损害投递率。让您邮件服务器以及邮件中链接的网站上的证书保持有效,有助于同时保护您的信誉和收件人的信任。