TLS 与证书信任
SSL 错误说明
理解诊断中常见的 SSL 和 TLS 问题,包括证书过期、主机名不匹配、自签名链、协议问题,以及每类失败对真实用户意味着什么。
SSL 错误处在一个容易误判的位置。主机可能可达,端口可能开放,网站甚至可能向某些客户端返回内容,但浏览器和爬虫仍会因为信任在正常 HTTPS 会话建立前失败而阻止页面。这就是证书问题需要单独解读,而不应简单归入“网站宕机”的原因。
可达不等于可信
服务器可以在 443 端口响应,但仍因证书过期、主机名不匹配或不受信任而让用户访问失败。
主机名和有效期同样重要
即使证书是新的,只要没有覆盖用户实际请求的主机名,它仍然是错误证书。
TLS 问题发生在正常渲染之前
所以 SSL 问题常常看起来像宕机,即使服务器背后的应用仍在运行。
01
什么时候需要解读 SSL
当 HTTPS 信任是真正阻塞点,而不只是更大报告中的旁支线索时,使用这篇指南。
浏览器显示证书警告
用户报告的可能是吓人的安全拦截页,而不是空白宕机。网站可能还活着,但信任已经坏了。
网站检查指向 TLS 失败
专门的 SSL 视图能把证书生命周期问题,与端口可达性或应用错误分开。
刚发生迁移或 CDN 变更
DNS 迁移和平台切换期间,主机名覆盖、证书链展示和边缘节点证书最容易出错。
02
常见 SSL 错误类型
这些类别解释了诊断中大多数 HTTPS 信任失败。
| 错误类型 | 通常意味着什么 | 用户通常会看到什么 |
|---|---|---|
| 证书过期 | 证书有效期已经结束,未及时续期。 | 浏览器阻止访问,或显示强烈安全警告。 |
| 主机名不匹配 | 请求的主机不在 SAN 列表或通用名称范围内。 | HTTPS 只在部分主机名上可用,或用户看到证书名称警告。 |
| 自签名或私有签发链 | 服务器展示的证书默认不被公开客户端信任。 | 内部系统可能可用,但公开浏览器和机器人会拒绝页面。 |
| 证书链不完整 | 服务器没有提供足够的中间证书,客户端无法顺利建立信任。 | 部分设备可访问,部分设备失败,取决于是否缓存了中间证书。 |
| 旧版或异常协议协商 | 端点只支持旧 TLS 行为,或在握手协商期间失败。 | 页面加载前连接就失败,严格客户端尤其明显。 |
03
如何区分 SSL 问题和纯宕机
这个区别很重要,因为修复负责人和紧急程度可能完全不同。
443 端口开放,但 HTTPS 仍可能坏
有服务接受连接只证明某个端点在监听,并不能证明证书链或主机名信任正确。
有效证书不证明应用健康
TLS 成功后,页面仍可能返回 500 或 503。SSL 只是请求路径中的一个阶段。
不同主机名可能表现不同
根域名、www 主机和区域子域名可能各自展示不同证书覆盖和边缘行为。
04
SSL 问题的最佳后续检查
不要停留在泛泛的浏览器警告上,用能回答下一层不确定性的工具继续排查。
05
常见 SSL 误区
这些假设会让证书事故比实际更难诊断。
- 只因为浏览器显示证书警告,就认定网站完全宕机。
- 只看过期时间,忽略 SAN 列表中的主机名覆盖。
- 直接测试源站 IP,却期待结果能正确代表公开主机名。
- 把某个客户端成功访问当作证书链对所有浏览器和设备都健康的证明。