Defaults.Exposed › 報告
已過期、自簽名、無效:證書錯誤報告(2026)
發布於 2026-06-29
數據截至 2026-06-29 · 方法論 v7。 涵蓋 197 百萬個出示 TLS 證書的域名的彙總普查數據。“無效” = 證書未通過驗證(已過期、自簽名、主機名錯誤或鏈不受信任)。參見我們如何評分。
擁有證書與擁有有效證書並不相同:網絡上 8.57% 的證書未通過驗證。 在 197 百萬個出示 TLS 證書的域名中,16,920,535 個所持的證書瀏覽器並不信任 — 它們中的每一個都會向訪客顯示整頁安全警告,而不是網站本身。在免費、自動續期證書的時代,損壞的證書幾乎總是一個可修復的失誤,而非成本問題。
這些證書到底出了什麼問題
證書未通過驗證的原因有幾種 — 已過期、自簽名、為不同的主機名簽發,或來自不受信任的鏈。普查中最容易明確識別的類別是自簽名:
| 問題 | 域名 |
|---|---|
| 存在證書但無效(任何原因) | 16,920,535(8.57%) |
| — 其中自簽名 | 3,378,080(佔無效證書的 20.0%) |
自簽名證書是指域名簽發給自己的證書 — 它能加密流量但無法證明任何身份,因此瀏覽器會拒絕它。它常見於意外暴露到公共互聯網的設備、內部工具和暫存環境。其餘的無效證書大多是已過期或主機名不匹配。
為什麼損壞的證書比沒有 HTTPS 更糟
沒有 HTTPS 的網站會得到一個不起眼的”不安全”標籤。而帶有損壞證書的網站會得到一個整頁紅色插頁警告 — “您的連接不是私密連接” — 大多數訪客不會點擊越過它。這是瀏覽器顯示的最嚴厲的信任信號,而且它在你的內容加載之前就觸發。對企業而言,這是在初次接觸的那一刻關上了一扇門。
它也是可以避免的:由於免費 CA 和自動續期如今簽發了絕大多數證書,有效證書分文不花並且能自動續期。那 8.57% 持有損壞證書的幾乎全都是配置缺口,而非預算問題。
如何修復證書錯誤
- 已過期? 自動化續期(ACME / Let’s Encrypt),讓它再也不會失效。修復證書錯誤。
- 自簽名? 用免費的 CA 簽發證書替換它 — 自簽名證書在瀏覽器中始終會發出警告。
- 主機名錯誤? 重新簽發,覆蓋你所服務的確切名稱(包括
www)。 - 驗證鏈是否完整且受信任,然後通過重新檢查來確認。
常見問題
證書為什麼會變得無效? 最常見的是它已過期、是自簽名的、為不同的主機名簽發,或來自不受信任的鏈。截至 2026-06-29,8.57% 的證書因這些原因之一未通過驗證。
什麼是自簽名證書? 是服務器簽發給自己而非從受信任 CA 獲取的證書。它能加密但無法證明任何身份,因此瀏覽器會拒絕它。有 3,378,080 個域名出示這種證書。
損壞的證書比沒有 HTTPS 更糟嗎? 是的 — 損壞的證書會觸發一個阻斷網站的整頁瀏覽器警告,而純 HTTP 只會得到一個較溫和的內嵌”不安全”標籤。
修復它要花多少錢? 分文不花。有效證書是免費的(Let’s Encrypt 等)且會自動續期。這是一項配置修復。
檢查你的證書是否有效
被瀏覽器拒絕的證書此刻正在讓你流失訪客。免費且私密地檢查你的證書。
檢查你的域名 → · 修復證書錯誤 → · 誰簽發了網絡上的證書? → · 為什麼我的網站顯示”不安全”? → · 僅彙總數據。數據在歐盟存儲和處理。