一个过期SSL证书,让你的域名上了谷歌黑名单

这不是危言耸听。Google Safe Browsing的算法中,SSL证书的合规性是重要的检测维度之一。使用自签名证书、证书链不完整、证书过期、使用已被吊销的证书——这些都会降低域名在谷歌安全评分系统中的信任分。当信任分降到阈值以下,你的域名就会被标记。

更糟糕的是,腾讯安全中心和国家反诈APP也对HTTPS部署情况有检测。一个没有HTTPS的域名,在QQ微信中会被标记为「不安全链接」,在反诈APP中更是重点「关照」对象。

🔍 核心事实

HTTPS ≠ SSL证书部署完就完了。证书类型、证书链完整性、TLS版本、HSTS配置——这五个细节中任何一个出问题,都可能成为域名被标红的导火索。

五个致命细节

1. 证书类型:DV证书(域名验证)够用但权威性低,OV/EV证书(组织验证/扩展验证)在谷歌的安全评分中权重更高。2. 证书链完整性:缺少中间证书会导致部分浏览器报警。3. TLS版本:禁用TLS 1.0/1.1,只启用TLS 1.2+。4. HSTS配置:Strict-Transport-Security头告诉浏览器只通过HTTPS访问,防止降级攻击。5. 证书有效期:使用短有效期证书并配置自动续期。

在域名防红的整体方案中,SSL/HTTPS是基础但不可忽视的一环。一个配置完善的HTTPS环境,可以避免至少30%的非必要安全告警。