SSL/TLS 证书详解（无技术黑话版）

当你在浏览器中看到那把小锁时，TLS（通常仍被称为 SSL）正在加密你与服务器之间的流量。证书将公钥与主机名（有时还包括公司身份）绑定在一起，让浏览器能够验证你正在访问的是真实网站，而非同一 Wi‑Fi 下的冒牌货。

证书究竟能证明什么

• 域名验证（DV） —— 证明你对该域名拥有控制权；访客可获得加密保护，但身份验证较为有限。
• 组织验证（OV）/ 扩展验证（EV） —— 对法律实体进行更严格的审核；EV 曾以绿色地址栏著称，但在现代浏览器中已不那么显眼。

对大多数网站而言，来自 Let's Encrypt 的免费 DV 证书已经足够：加密 + 自动续期。

证书链

浏览器信任操作系统内置的根 CA。你的服务器需要同时发送叶证书 + 中间证书；浏览器会逐级向上追溯至受信任的根证书。如果缺少中间证书，某些客户端会显示 "证书不受信任"，即便在你本机上用 OpenSSL 检查一切正常。

请务必将服务器配置为按照 CA 文档要求发送完整证书链。

到期与续期

证书会过期。Let's Encrypt 签发短期证书（90 天），以推动自动化续期。请配置 ACME 续期工具（Certbot、Caddy、Traefik 或主机控制面板），并监控续期失败情况。

证书过期会导致以下问题：

• 用户无法正常访问 HTTPS
• 固定了 TLS 或使用严格客户端的 API 中断
• 若接收方对出站 TLS 验证不严格，Webhooks 也可能出现故障

主机名不匹配

针对 www.example.com 签发的证书可能不覆盖 example.com，除非 SAN 条目同时包含两者——或者使用通配符 *.example.com（但通配符不覆盖裸顶级域名）。

使用我们的 SSL Checker，从公共互联网视角查看证书到期时间、颁发机构及主机名覆盖范围。

DNS 先于 TLS

TLS 的前提是客户端能够访问正确的 IP 地址。迁移后，请先通过 DNS Lookup 确认 A/AAAA/CNAME 记录是否正确，再去排查密码套件问题。

如果 HTTP 重定向出现异常，HTTP Status Checker 可帮助你验证从 http → https 的 301/302 跳转链是否正常。

实用检查清单

• 全面启用 HTTPS；使用 301 重定向 HTTP 请求
• 只有在确认所有子域名均支持 HTTPS 后，才启用 HSTS
• 自动化续期，并在证书有效期少于 14 天时发出告警
• 不仅限于办公室网络，还需在移动网络和企业代理环境下进行测试

HTTPS 是 SEO、安全性和用户信任的基本门槛——一旦你知道该从哪里入手，修复证书链或主机名问题往往比想象中快得多。