验证HTTPS网站的SSL/TLS证书，是确保网络通信安全的基础操作。

这里整理了多种实用方法，从快速查看到底层日志分析，全都有。

无论你是日常确认证书有效性，还是排查中间人攻击或协议降级等复杂问题，都能找到对应的手段。

当你访问一个HTTPS网站，需要确认其身份真实性以及加密连接的细节时，就必须调取该网站由权威机构签发的安全证书。

下面以谷歌浏览器为例，一步步来看具体怎么操作。

一、通过地址栏锁形图标快速获取证书基本信息

这个方式最直观，利用Chrome的图形界面直接展示当前安全连接的证书摘要。

日常快速确认证书是否有效、域名是否匹配、有效期是否正常，用它做第一步就够了。

• 1. 在谷歌浏览器中输入目标网站的https://地址。等页面完全加载后，地址栏左侧会显示锁形图标——绿色锁代表连接安全。
• 2. 点击这个锁形图标，展开安全连接信息面板。
• 3. 在弹出菜单中点击“连接是安全的”（如果证书异常，这里会显示“连接不安全”或红色警告）。
• 4. 在新展开的详情页里，点击证书有效链接。
• 5. 系统会弹出“证书”窗口。在“常规”选项卡下，确认颁发给（Subject）字段是否与当前域名完全一致，检查有效期起止时间是否包含当前日期；然后切换到“证书路径”选项卡，可以查看证书链的层级结构。

二、使用开发者工具Security面板深度解析加密连接

这个方法调用Chrome内置的网络层安全诊断模块，直接展示TLS协议版本、协商的加密套件、证书链完整性以及混合内容状态。

对于识别中间人攻击、自签名证书或协议降级之类的风险，它非常管用。

• 1. 访问目标HTTPS网站，等页面渲染完成。
• 2. 按下F12键（Windows/Linux）或Command+Option+I（Mac）打开开发者工具。
• 3. 在顶部标签栏中切换到Security选项卡（如果没看到，点右箭头“”展开更多标签）。
• 4. 等页面加载完，在“Overview”区域找到Protocol右侧的值，比如“TLS 1.3”或“TLS 1.2”。
• 5. 点击左侧Main origin条目，在右侧“Connection”属性区块中再次确认Protocol、Key Exchange和Cipher字段。
• 6. 点击View certificate按钮，在弹出窗口中切换到“详细信息”选项卡，查看SHA-256 指纹和公钥算法等技术参数。

三、通过chrome://net-internals事件日志捕获完整TLS握手过程

这个方式深入底层网络事件流，记录完整的TLS握手阶段原始日志。

当你遇到ALPN协商失败、服务器拒绝TLS 1.3、证书链缺失或者SNI配置错误等棘手问题时，它能帮你从底层找到根因。

• 1. 在地址栏输入chrome://net-internals/#events并回车，进入网络事件监控页面。
• 2. 点击左上角Start Recording按钮，开始捕获网络事件。
• 3. 在新标签页中访问目标HTTPS网站，确保页面完成加载。
• 4. 返回chrome://net-internals页面，点击Stop Recording停止捕获。
• 5. 在事件列表中筛选类型为SSL或CERTIFICATE的日志条目，定位包含“ssl_handshake”关键词的事件。
• 6. 点击对应事件展开详情，在“params”字段中查找protocol_version、cipher_suite及certificates等原始数据。

四、导出证书文件用于离线比对与第三方验证

这个方法允许你把网站当前使用的服务器证书或中间证书导出为标准格式文件。

方便在其他工具中验证指纹、分析公钥、提交至证书透明度日志，或者用于企业级安全审计。

• 1. 通过地址栏锁形图标或开发者工具打开网站的证书详情窗口。
• 2. 在证书窗口中，切换到详细信息选项卡。
• 3. 点击复制到文件按钮，启动证书导出向导。
• 4. 在向导第一步中选择Base-64 编码的X.509(.CER)格式（兼容性最好）。
• 5. 指定保存路径与文件名，完成导出后获得一个可以被OpenSSL、KeyStore Explorer等工具读取的证书文件。
• 6. 使用命令行执行openssl x509 -in site.cer -text -noout，就能解析出完整的证书文本内容，包括OCSP响应器地址与CRL分发点。

五、通过设置管理本地受信任根证书以核查信任锚点

这个方法的目的是验证浏览器底层的信任锚点是否被篡改。

如果攻击者恶意导入伪造的根证书，就能实现全站HTTPS劫持，影响所有HTTPS网站的证书校验结果——所以这一步绝对不能省。

• 1. 点击Chrome浏览器右上角的三点垂直菜单图标，从下拉菜单中选择设置。
• 2. 在设置页面左侧导航栏中，进入隐私和安全部分。
• 3. 点击安全选项，向下滚动找到并点击管理设备上的证书按钮。
• 4. 在弹出的证书管理器中，切换到受信任的根证书颁发机构标签页。
• 5. 在列表中查找目标网站证书所对应的根CA名称（比如DigiCert Global Root G3、Sectigo RSA Domain Validation Secure Server CA），双击进入查看详情。
• 6. 在“详细信息”选项卡中核对指纹（SHA-1 和 SHA-256）是否与CA官网公布的权威指纹一致。