Defaults.Exposed

Defaults.Exposed › 报告

已过期、自签名、无效:证书错误报告(2026)

发布于 2026-06-29

数据截至 2026-06-29 · 方法论 v7。 涵盖 197 百万个出示 TLS 证书的域名的汇总普查数据。“无效” = 证书未通过验证(已过期、自签名、主机名错误或链不受信任)。参见我们如何评分

拥有证书与拥有有效证书并不相同:网络上 8.57% 的证书未通过验证。 在 197 百万个出示 TLS 证书的域名中,16,920,535 个所持的证书浏览器并不信任 — 它们中的每一个都会向访客显示整页安全警告,而不是网站本身。在免费、自动续期证书的时代,损坏的证书几乎总是一个可修复的失误,而非成本问题。

这些证书到底出了什么问题

证书未通过验证的原因有几种 — 已过期、自签名、为不同的主机名签发,或来自不受信任的链。普查中最容易明确识别的类别是自签名

问题域名
存在证书但无效(任何原因)16,920,535(8.57%)
— 其中自签名3,378,080(占无效证书的 20.0%)

自签名证书是指域名签发给自己的证书 — 它能加密流量但无法证明任何身份,因此浏览器会拒绝它。它常见于意外暴露到公共互联网的设备、内部工具和暂存环境。其余的无效证书大多是已过期或主机名不匹配。

为什么损坏的证书比没有 HTTPS 更糟

没有 HTTPS 的网站会得到一个不起眼的”不安全”标签。而带有损坏证书的网站会得到一个整页红色插页警告 — “您的连接不是私密连接” — 大多数访客不会点击越过它。这是浏览器显示的最严厉的信任信号,而且它在你的内容加载之前就触发。对企业而言,这是在初次接触的那一刻关上了一扇门。

它也是可以避免的:由于免费 CA 和自动续期如今签发了绝大多数证书,有效证书分文不花并且能自动续期。那 8.57% 持有损坏证书的几乎全都是配置缺口,而非预算问题。

如何修复证书错误

  1. 已过期? 自动化续期(ACME / Let’s Encrypt),让它再也不会失效。修复证书错误
  2. 自签名? 用免费的 CA 签发证书替换它 — 自签名证书在浏览器中始终会发出警告。
  3. 主机名错误? 重新签发,覆盖你所服务的确切名称(包括 www)。
  4. 验证链是否完整且受信任,然后通过重新检查来确认。

常见问题

证书为什么会变得无效? 最常见的是它已过期、是自签名的、为不同的主机名签发,或来自不受信任的链。截至 2026-06-29,8.57% 的证书因这些原因之一未通过验证。

什么是自签名证书? 是服务器签发给自己而非从受信任 CA 获取的证书。它能加密但无法证明任何身份,因此浏览器会拒绝它。有 3,378,080 个域名出示这种证书。

损坏的证书比没有 HTTPS 更糟吗? 是的 — 损坏的证书会触发一个阻断网站的整页浏览器警告,而纯 HTTP 只会得到一个较温和的内嵌”不安全”标签。

修复它要花多少钱? 分文不花。有效证书是免费的(Let’s Encrypt 等)且会自动续期。这是一项配置修复。

检查你的证书是否有效

被浏览器拒绝的证书此刻正在让你流失访客。免费且私密地检查你的证书。

检查你的域名 → · 修复证书错误 → · 谁签发了网络上的证书? → · 为什么我的网站显示”不安全”? → · 仅汇总数据。数据在欧盟存储和处理。