如何查看网站的SSL证书？

跟某国内DPI小厂做了一个技术交流，提及一个问题，是否有考虑在数据中心流量监测中，实现SSL证书状态监测和预警功能。产品经理答复，有这个计划，有几个客户也提出过类似需求，希望在已部署的DPI产品能增加SSL证书状态监测功能。

利用DPI产品强大的流量分析功能，实现一个小小的证书监测，感官上有点杀鸡用牛刀。但是对于已经部署了DPI产品，顺带用DPI帮忙监测在用的SSL证书状态，属于搂草打兔子，顺手的事情。

用DPI监测DC内部的在用SSL证书状态，技术上没太多难度，但是相比常见的证书管理平台方案，个人认为还是有几个特别的点：

• DC网络内所有在用的证书一览无遗。
  DPI从流量获取信息，只要在用，那么涉及的证书就会有流量，有流量就能被发现。这相比依靠DNS域名扫描、ADCS集成的证书管理平台，对DC在用的证书遗漏概率低很多。
  DC部署服务有生产的，办公的，对外协作的等。涉及的证书申请部门也比较多，证书签发机构多，证书日常维护使用也归口不同部门和人员，这就很容易导致证书在管理层面有疏漏。
• 利用现有的DPI系统增加一个证书状态监测功能，在一定需求范围内，可以避免建设单一证书管理系统。类似于买个智能手机，既满足了基本通信需求，又可以拍照，相机钱省了。

有个误解需要强调一下，很多人认为https是加密流量，那里面所使用的证书信息也被加密了吧。这是很错误的理解，说明对https加密过程不熟悉，也对证书的作用机制不清楚。

首先，SSL证书并不用于加密流量，加密流量是协商生成的一次性对称密钥。这个一次性对称密钥是依赖证书的非对称密钥加密后分发。即证书里面的公钥、私钥只是用于分发一次性对称密钥的，真正加密流量的是这个一次性对称密钥。每次会话，这个一次性密钥都会变。

其次，公钥证书文件最重要就是两个数：模数n、指数e，这两个数就是所谓公钥。私钥证书也是两个数，模数n，私钥指数d，这两个数就是所谓的私钥。公私钥模数n是一样的，很长，一般都是2048位，这个长度目前几乎没有被破解的可能。公钥证书是服务端发给客户端的，供客户端在通信过程使用。常见的浏览器访问https网站提示安装证书，这个证书就是服务端公钥证书。私钥证书用于服务端，用于解密客户端发回的信息，不需要告诉任何人，也不需要出现在网络上。

第三，非对称密钥体系，在缺少私钥指数d的情况下，只知道模数n、指数e以及加密信息，几乎是无法破解的。具体数学原理涉及费马小定理、欧拉函数、中国剩余定理，有兴趣的可以去看买本数论看看，原理还是比较容易理解的。

因而在非对称加密体系中，模数n、指数e（这两个数是存在于公钥证书，查看证书就能看到）是可以随便公开的，只有私钥指数d（存在私钥文件中）是需要保密的，加之私钥指数d不需要在网络上传输，也不需要公开，因此只要在本地保存好私钥证书，不泄漏，中间攻击是无法破解非对称加密的。正是基于非对称加密的特点，对于SSL公钥证书，里面的信息都是公开的，随便看，没有加密的必要的。

下图就是SSL证书协商流程，前13步都是明文。

抓取https://www.baidu.com流量来展示如何通过抓包查看证书信息，比如证书有效期。

上图是通过抓包抓取的http://baidu.com的域名证书的有效期，蓝色的时间就是证书时间，这里的时间是UTC时间，所以换算北京时间要+8。，下图是通过浏览器查看http://baidu.com域名证书的有效期，完全一致。

除了证书有效期通过流量还能看到很多信息，比如签发机构、证书链、公钥、模数n、指数e、证书授权域名等。基本上能从pem证书文件能看到的信息，流量里都能看到。