qianyuanqing.wsff.cn-TopSSL

域名 qianyuanqing.wsff.cn 的 SSL/TLS 部署结论

该域名当前未配置有效 HTTPS 服务，直接访问 https://qianyuanqing.wsff.cn 会触发浏览器 TLS 握手失败或证书错误（如 NET::ERR_CERT_AUTHORITY_INVALID 或 ERR_CONNECTION_CLOSED）。根本原因在于：**该域名未部署任何受信任 CA 签发的 SSL 证书，且未配置 TLS 协议栈或监听 443 端口**。常见于仅启用 HTTP 服务、反向代理未透传 TLS、或证书已过期/未正确安装的场景。

该域名属于二级子域（wsff.cn 为注册域），其证书覆盖范围需明确匹配或通过 SAN 扩展声明。若需启用 HTTPS，必须为 qianyuanqing.wsff.cn 单独申请证书，或使用通配符证书覆盖 wsff.cn 下全部一级子域（但不包括二级及以上子域，如 a.b.wsff.cn）。

SSL/TLS 部署必须满足三项基础工程前提：域名 DNS 解析可达、服务器 443 端口开放且路由可达、TLS 终止点（Nginx/Apache/Cloud Load Balancer 等）完成证书与私钥加载并启用 TLS 1.2+ 协议。

证书类型选择依据

若仅需快速验证 HTTPS 可用性且无组织身份展示需求，可选用免费 DV SSL证书；若需绑定组织信息并提升客户端信任度（如企业后台、内部系统），应选用 OV SSL证书；该域名无公开品牌标识需求，EV SSL证书不适用。

兼容性与协议要求

现代浏览器（Chrome 100+、Edge 100+、Firefox 110+）已弃用 TLS 1.0/1.1，强制要求 TLS 1.2 起始版本；iOS 15.4+、Android 10+ 均默认禁用弱协议。证书必须使用 SHA-256 或更高签名哈希，密钥长度不低于 RSA 2048 或 ECDSA secp256r1。

验证步骤建议

1. 使用 ssl证书工具检查 443 端口连通性及证书链响应； 2. 执行 `openssl s_client -connect qianyuanqing.wsff.cn:443 -servername qianyuanqing.wsff.cn -tls1_2` 验证 TLS 1.2 握手与证书输出； 3. 若返回 `verify error:num=20:unable to get local issuer certificate`，说明中间证书未正确配置；若无响应，则端口未开放或未监听。

维度	参考标准	工程师建议
证书类型	CA/B Forum BR v2.8 §3.2.2.1	优先选用 DV SSL证书快速上线，后续按需升级为 OV SSL证书
域名覆盖	RFC 6125 §7.2	必须精确匹配 qianyuanqing.wsff.cn，不可依赖父域通配符；如需多子域，选用多域名SSL证书
密钥安全	NIST SP 800-57 Part 1 Rev.5	禁用 RSA 1024，推荐 RSA 3072 或 ECDSA P-256；私钥权限设为 0400，禁止 world-readable