對(duì)于ssl證書鏈檢測(cè)，主要是兩方面，一是ssl證書鏈中證書個(gè)體的檢測(cè)，另外一個(gè)是ssl證書鏈整體的檢測(cè)。對(duì)于前者，與之前服務(wù)器證書檢測(cè)一樣，主要也是檢測(cè)是否過期、簽名是否安全等，外加是否屬于自簽名證書（即自己給自己簽發(fā)，也就是SubjectKeyId與AuthorityKeyId相同）。對(duì)于ssl證書鏈檢測(cè)，主要集中哪幾點(diǎn)呢？

分別集中在以下這幾點(diǎn)：

一、ssl證書鏈長(zhǎng)度檢測(cè)。既然都稱為鏈了，那長(zhǎng)度最起碼也得大于2吧。而最長(zhǎng)長(zhǎng)度也得要有一定的限制，畢竟沒有哪個(gè)瀏覽器證書鏈包含十幾份證書，具體上限是多少，小編我沒有找到相關(guān)資料，可以自行設(shè)定，根據(jù)后續(xù)檢測(cè)結(jié)果調(diào)整。

二、ssl證書鏈順序檢測(cè)。這里順序檢測(cè)主要是保證下級(jí)證書必須是由上級(jí)機(jī)構(gòu)簽發(fā)，即證書鏈中，下級(jí)證書的AuthorityKeyId要與上一級(jí)證書的SubjectKeyId相等。

三、ssl證書鏈根證書檢測(cè)。這里要進(jìn)行根證書的可信檢測(cè)，主要是指證書鏈的根部證書必須包含在已知的可信根證書集中，這是保證后續(xù)簽發(fā)證書可信的必要條件。

ssl證書鏈長(zhǎng)度檢測(cè)比較簡(jiǎn)單，編程獲取的證書信息中都會(huì)包含證書鏈信息，一般以列表形式存在，只要檢測(cè)其列表長(zhǎng)度即可。

ssl證書順序的檢測(cè)需要從服務(wù)端證書開始，依次檢測(cè)該證書的AuthorityKeyId是否與列表中下一證書的SubjectKeyId一致，保證下級(jí)證書由上級(jí)機(jī)構(gòu)簽發(fā)。

根ssl證書可信的檢測(cè)，主要是檢測(cè)證書鏈中根部證書是否可信。瀏覽器和操作系統(tǒng)中一般都會(huì)自帶大量可信CA根證書，例如：

除此之外還有類似aosp.pem，apple.pem，microsoft.pem，java.pem，mozilla.pem等作為補(bǔ)充，總之，可以包含你所知道的所有可信根證書集合，越全越好，甚至可以把那些瀏覽器不信任但我們認(rèn)為可信的根證書也包含在內(nèi)，比如SRCA。對(duì)于可信CA根證書的檢測(cè)，只需確定證書鏈中的根證書是否屬于所提供的可信CA根證書集即可，具體到細(xì)節(jié)實(shí)現(xiàn)，就是判斷ssl證書鏈根證書的SubjectKeyId是否包含在上述證書集組成的字典（key為SubjectKeyId，value可以為證書）中，當(dāng)然其中需要一些細(xì)節(jié)處理。小編這里就不詳細(xì)解說，如果你還有疑問，請(qǐng)咨詢恒訊科技技術(shù)人員。