检查SSL/TLS证书是否有效的检测方法

SSL/TLS证书是保障网站HTTPS加密通信的核心凭证。若证书无效（如已过期、域名不匹配、签发机构不受信任或证书链不完整），将导致浏览器显示“不安全”警告、连接中断、SEO降权，甚至被恶意中间人攻击。定期验证证书状态是网站安全运维的必备环节。

一、浏览器端快速检查（适用于日常排查）

打开目标网站（https://yourdomain.com），点击地址栏左侧的锁形图标 → 选择【连接是安全的】→ 【证书有效】（Chrome）或【显示证书】（Firefox/Safari），可查看：

• 有效期：确认“有效期从…到…”是否在当前时间范围内；
• 颁发给（Subject）：检查CN（Common Name）或SAN（Subject Alternative Name）是否包含当前访问域名；
• 颁发者（Issuer）：确认是否为可信CA（如Let’s Encrypt、DigiCert、Sectigo等）；
• 证书路径：查看证书链是否完整（根证书→中间证书→站点证书）。

二、命令行检测（推荐运维/开发人员使用）

1. 使用 OpenSSL 检查证书基本信息与有效期

openssl s_client -connect example.com:443 -servername example.com 2>/dev/null | openssl x509 -noout -dates -subject -issuer -text

关键输出解读：

• notBefore 和 notAfter：证书生效与过期时间（UTC）；
• Subject: 确认域名是否匹配（重点关注 CN= 和 subjectAltName）；
• Verify return code: 0 (ok) 表示本地信任链验证通过；非0值（如10=证书过期、18=自签名证书未信任）需重点排查。

2. 检查证书链完整性

openssl s_client -showcerts -connect example.com:443 -servername example.com 2>/dev/null

输出中会显示完整的证书链（通常含3段BASE64内容）。若缺少中间证书，浏览器可能无法构建信任链，尤其在旧系统或移动端易报错。

三、权威在线检测工具（无需安装，适合快速诊断）

• SSL Labs SSL Test（https://www.ssllabs.com/ssltest/）：行业标杆级检测，提供A+评分、协议支持、密钥强度、HSTS配置、证书链分析及详细漏洞提示（如BEAST、POODLE）；
• Why No Padlock?（https://www.whynopadlock.com/）：专查混合内容（HTTP资源）、证书错误及重定向问题；
• Google Transparency Report（https://transparencyreport.google.com/https/certificates）：查询证书是否被CT日志收录，验证其公开可审计性。

四、自动化监控建议（生产环境必备）

避免人工遗漏，推荐以下实践：

• 使用 Certbot + cron 自动续期并添加到期前7天告警；
• 集成 Zabbix / Prometheus + Blackbox Exporter 监控证书剩余天数；
• 调用 curl -v https://domain.com 2>&1 | grep "certificate" 实现轻量级健康检查脚本。

五、常见证书失效原因速查表

SSL/TLS证书不是“一次配置，永久有效”。随着CA策略更新（如Let’s Encrypt默认90天有效期）、算法淘汰（SHA-1弃用）、密钥升级（RSA→ECDSA）及域名变更，持续验证至关重要。

推荐服务器配置：