SSL/TLS 证书检查工具
SSL/TLS 证书检查工具可以全面分析线上服务器的证书配置,检测潜在的安全问题、协议支持情况和漏洞,帮助您确保服务器的安全性。
访问 SSL/TLS 证书检查工具 页面。
单个主机检查
Section titled “单个主机检查”-
输入主机地址
在输入框中输入要检查的主机地址,格式:
example.com(默认使用 443 端口)example.com:8443(指定端口)192.168.1.100:443(IP 地址)
-
开始检查
点击「开始检查」按钮,系统会开始分析目标主机的 SSL/TLS 配置
-
查看结果
检查完成后,页面会显示详细的分析结果
支持一次性检查多个主机,提高工作效率。
-
输入多个主机
每行输入一个主机地址:
example.comapi.example.com:8443www.example.com -
配置并发数量
设置同时检查的主机数量(建议 3-5 个)
-
开始批量检查
系统会依次检查所有主机,并显示实时进度
检查结果详解
Section titled “检查结果详解”工具会给出 A+ 到 F 的综合评分:
- A+/A:优秀,安全配置完善
- B:良好,有少量改进空间
- C:及格,存在一些安全问题
- D/E/F:不合格,存在严重安全隐患
显示证书的详细信息:
基本信息:
- 颁发给(Subject)
- 颁发者(Issuer)
- 有效期起止时间
- 序列号
- 指纹(SHA-256)
域名信息:
- 主域名(Common Name)
- 备用名称(Subject Alternative Names)
- 通配符支持
证书链:
- 完整的证书链信息
- 根证书、中间证书
- 证书链验证状态
检查服务器支持的 TLS/SSL 协议版本:
推荐配置:
- ✅ TLS 1.3(最新、最安全)
- ✅ TLS 1.2(广泛兼容)
- ⚠️ TLS 1.1(已过时,不推荐)
- ❌ TLS 1.0(已废弃,存在安全问题)
- ❌ SSL 3.0、SSL 2.0(严重漏洞,必须禁用)
严重级别标识:
- Critical(严重):存在已知的严重漏洞
- High(高危):安全性较差
- Medium(中危):有一定风险
- Low(低危):轻微问题
- Info(信息):仅供参考
自动检测常见的 SSL/TLS 漏洞:
常见漏洞:
| 漏洞名称 | CVE 编号 | 风险等级 | 说明 |
|---|---|---|---|
| POODLE | CVE-2014-3566 | 严重 | SSL 3.0 填充oracle攻击 |
| BEAST | CVE-2011-3389 | 高危 | TLS 1.0 块加密攻击 |
| Heartbleed | CVE-2014-0160 | 严重 | OpenSSL 内存泄漏 |
| FREAK | CVE-2015-0204 | 高危 | 导出级加密降级攻击 |
| Logjam | CVE-2015-4000 | 高危 | Diffie-Hellman 降级攻击 |
| DROWN | CVE-2016-0800 | 严重 | SSLv2 跨协议攻击 |
| ROBOT | CVE-2017-6168 | 高危 | RSA 填充oracle攻击 |
列出服务器支持的所有密码套件及其安全性评估:
推荐密码套件:
TLS_AES_128_GCM_SHA256(TLS 1.3)TLS_AES_256_GCM_SHA384(TLS 1.3)TLS_CHACHA20_POLY1305_SHA256(TLS 1.3)ECDHE-RSA-AES128-GCM-SHA256(TLS 1.2)ECDHE-RSA-AES256-GCM-SHA384(TLS 1.2)
不推荐的密码套件:
- 使用 RC4、DES、3DES 的套件
- 不支持前向保密(Forward Secrecy)的套件
- 使用 MD5 或 SHA1 的套件
证书透明度(CT)
Section titled “证书透明度(CT)”检查证书是否记录在证书透明度日志中:
- 已记录:证书符合 CT 要求,被主流浏览器信任
- 未记录:证书可能不被某些浏览器信任
HSTS 和安全头
Section titled “HSTS 和安全头”检查服务器的安全相关 HTTP 头:
HSTS(HTTP Strict Transport Security):
- 是否启用
- 最大有效期(max-age)
- 是否包含子域名(includeSubDomains)
- 是否预加载(preload)
其他安全头:
X-Frame-Options:防止点击劫持X-Content-Type-Options:防止 MIME 类型嗅探X-XSS-Protection:XSS 过滤器
工具会保存您的检查历史记录,方便对比和追踪。
历史记录包含:
- 检查时间
- 主机地址
- 评分结果
- 主要问题摘要
历史操作:
- 查看详细结果
- 重新检查
- 分享结果
- 下载报告
生成分享链接,将检查结果分享给团队成员:
- 在检查结果页面点击「分享」按钮
- 系统生成唯一的分享链接
- 将链接发送给需要查看的人员
将检查结果下载为 PDF 或 JSON 格式:
- PDF 报告:适合打印和归档,包含完整的分析结果
- JSON 数据:适合程序处理和二次分析
上线前安全检查
Section titled “上线前安全检查”在新服务上线前,使用工具检查:
- ✅ 证书是否正确安装
- ✅ 证书链是否完整
- ✅ 是否使用了安全的协议和密码套件
- ✅ 是否存在已知漏洞
- ✅ 安全头是否正确配置
定期安全审计
Section titled “定期安全审计”建议每月或每季度检查一次:
- 追踪评分变化
- 验证安全更新效果
- 发现新出现的漏洞
- 对比行业最佳实践
当遇到证书相关问题时:
- 证书过期导致访问失败
- 浏览器显示不安全警告
- 部分客户端无法连接
- 证书链验证失败
评估第三方服务商的安全性:
- API 接口的安全配置
- 支付网关的证书状态
- 合作伙伴服务的安全等级
最佳实践建议
Section titled “最佳实践建议”根据检查结果,以下是服务器配置的最佳实践:
# Nginx 示例配置ssl_protocols TLSv1.2 TLSv1.3;ssl_prefer_server_ciphers on;密码套件配置
Section titled “密码套件配置”# 推荐的密码套件ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305';HSTS 配置
Section titled “HSTS 配置”# 启用 HSTS(一年有效期)add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;确保服务器配置包含完整的证书链:
# 合并证书链cat certificate.crt intermediate.crt > fullchain.crt为什么评分不是 A+?
Section titled “为什么评分不是 A+?”可能的原因:
- 未启用 TLS 1.3
- 支持了不安全的旧协议(TLS 1.0/1.1)
- 未配置 HSTS
- 密码套件配置不够优化
如何提高评分?
Section titled “如何提高评分?”- 禁用 TLS 1.0 和 1.1
- 启用 TLS 1.3
- 配置 HSTS 并设置较长的有效期
- 使用推荐的密码套件
- 确保没有已知漏洞
检查需要多长时间?
Section titled “检查需要多长时间?”- 单个主机:通常 10-30 秒
- 批量检查:取决于主机数量和并发设置
- 网络较慢时可能需要更长时间
是否会影响服务器性能?
Section titled “是否会影响服务器性能?”不会。工具仅建立 SSL/TLS 握手连接进行检测,不会发送实际业务请求,对服务器影响极小。