SSL Labs

网站部署了 HTTPS 证书就安全了吗？很多人都这么想，但实际上证书配置不当（如使用过期的加密套件、启用 TLS 1.0、证书链不完整等）会让 HTTPS 形同虚设。上线前用 SSL Labs 扫一遍，是每个站长和后端工程师都应该养成的习惯。

SSL Labs（https://www.ssllabs.com/ssltest/）是网络安全巨头 Qualys 提供的免费在线工具，也是目前业界最权威的 SSL/TLS 配置检测平台。只需输入一个域名，它会对该站点的 HTTPS 配置进行全面深度检测，包括协议版本、加密套件、证书链、OCSP 配置、HSTS 设置等数十个维度，最终给出一个从 F 到 A+ 的综合评分。

主要功能

综合评分体系

SSL Labs 给出四个维度的评分：Certificate（证书质量：有效期、签名算法、域名匹配、SAN 支持）、Protocol Support（协议支持：TLS 1.3 / 1.2 / 1.1 / 1.0 是否正确配置）、Cipher Strength（加密套件强度：AES 256 位还是 128 位）、Handshake Simulation（模拟各浏览器和客户端的握手结果）。最终给出从 F（完全不合格）到 A+ 的综合评级。

证书链检测

自动验证证书链是否完整，包括根证书、中间证书、服务器证书是否正确配置。如果证书链缺失任何一环，浏览器会显示安全警告。SSL Labs 会明确指出链的每一步是否正常。

协议与加密套件检测

检测服务器是否启用了不安全的 TLS 版本（TLS 1.0/1.1 已deprecated），以及是否正确配置了前向安全性（PFS）。还会检测是否存在已知漏洞的加密套件，如 3DES、RC4 等。

OCSP 与 CRL 检测

检查证书的在线证书状态协议（OCSP）响应是否正常，是否启用了 CRL（证书吊销列表）。这是判断证书是否被吊销的关键环节。

HSTS 与安全头检测

检测是否启用 HTTP Strict Transport Security（HSTS），以及是否包含 includeSubDomains 和 preload 指令。还检测是否有 X-Frame-Options、X-Content-Type-Options 等安全响应头。

协议降级与 BEAST 攻击检测

检测服务器是否对协议降级攻击有防护，以及是否存在已知漏洞如 BEAST（针对 TLS 1.0 的攻击）、POODLE（针对 SSLv3）、Heartbleed（心脏出血漏洞）等。

DNS CAA 记录检测

检查域名是否配置了 CAA（证书授权认证）DNS 记录，这是防止未经授权 CA 颁发证书的安全机制。

核心特点与优势

适用人群

• 站长 / 网站运维工程师——上线前必测，确保 HTTPS 配置正确
• 后端开发工程师——API 服务器 TLS 配置检测
• 安全工程师——渗透测试前的 HTTPS 基线检测
• DevOps 团队——CI/CD 流水线中集成 SSL 配置检测
• 证书采购人员——评估 CA 证书质量

总结

SSL Labs 是 HTTPS 配置检测领域毫无争议的标杆工具，由企业级安全公司 Qualys 维护，检测标准严格、覆盖面广。上线前用 SSL Labs 扫一遍是最低成本的 HTTPS 安全自查方式——只要输入域名，等几分钟，就能得到一份详细的诊断报告，告诉你哪里有问题以及如何修复。

拿到 A+ 评分不代表绝对安全，但拿到 F 或者 C 说明配置有严重问题。作为站长，每次部署 HTTPS 证书后都应该来这里测一测，确保不是「形式上安全，实际上裸奔」。