如何检查网站的SSL证书链问题？

SSL证书链的结构，一般是由网站证书 > CA中间证书机构 > CA根证书机构组成，中间证书还可能存在多层关系。网站要实现正常的https加密访问，需要确保网站服务器上的SSL证书链是完整的，否则访问时可能会出现证书不可信或无法访问等问题。那么如何查看SSL证书链问题？下面一起来了解下。

1、需要检查SSL证书链的长度

既然都称为链了，那长度最起码也得大于2，而最长长度也得要有一定的限制，毕竟没有哪个浏览器证书链包含十几份证书（证书链越长，加载速度越慢，信任度越差）。

2、需要检查SSL证书链的顺序

这里顺序检测主要是保证下级证书必须是由上级机构签发，即证书链中，下级证书的AuthorityKeyId要与上一级证书的SubjectKeyId相等。

3、需要检查SSL证书链的根证书

这里要进行根证书的可信检测，主要是指证书链的根部证书必须包含在已知的可信根证书集中，这是保证后续签发证书可信的必要条件。

对于可信CA根证书的检测，只需确定证书链中的根证书是否属于所提供的可信CA根证书集即可，像GlobalSign、DigiCert、Sectigo等都是可信的CA机构，一般在安信证书可申请。