浏览器地址栏“小锁”消失的完整排查方法

本指南按照**从高概率到低概率**的技术逻辑，给出完整排查路径。

浏览器的小锁本质代表：

• TLS 握手成功
• 证书链完整
• 无严重安全错误
• 页面未加载不安全内容

一旦消失，可能出现：

• “不安全”提示
• 红色警告页
• 混合内容提示
• 证书错误

第一步：确认是否是证书过期

这是最常见问题。

排查方法：

1. 点击地址栏 → 查看证书
2. 检查 “Valid from / Valid to”
3. 使用命令：

openssl s_client -connect yourdomain.com:443 -servername yourdomain.com

检查证书有效期。

常见原因

• 免费证书 90 天未续期（如 Let's Encrypt）
• 自动续期脚本失效
• 服务器迁移未重新签发

第二步：检查证书是否匹配当前域名

浏览器报错通常为：

• NET::ERR_CERT_COMMON_NAME_INVALID

排查点：

• 访问的是 www 还是裸域？
• 证书是否包含 SAN 扩展域名？
• 泛域名是否正确覆盖？

例如：

证书只签发：

topssl.cn

但访问：

www.topssl.cn

就会报错。

第三步：检查证书链是否完整

很多服务器只部署了主证书，未部署中间证书。

结果是：

• Chrome 可能正常
• 部分浏览器或设备报错
• SSL 检测工具显示 “Chain Incomplete”

排查工具：

• SSL Labs 在线检测
• openssl 验证

openssl s_client -connect yourdomain.com:443 -showcerts

应看到完整链：

Server Certificate
Intermediate Certificate
Root Certificate

若缺失中间证书，需要补充 CA 提供的 fullchain 文件。

第四步：检查是否存在混合内容（Mixed Content）

如果页面通过 HTTPS 打开，但加载了 HTTP 资源：

• 图片
• JS
• CSS
• iframe

浏览器会：

• 显示警告
• 或隐藏小锁

排查方式：

1. 打开浏览器开发者工具（F12）
2. 查看 Console 报错
3. 搜索：

Mixed Content

解决方式：

• 将所有资源改为 HTTPS
• 或使用相对协议 //example.com

第五步：确认服务器是否支持现代 TLS 协议

如果服务器仍启用：

• TLS 1.0
• TLS 1.1

部分浏览器会降级信任或警告。

建议启用：

• TLS 1.2
• TLS 1.3

并禁用不安全加密套件。

六步：确认是否被浏览器标记为恶意网站

即便证书正常，如果网站被列入：

• 恶意软件名单
• 钓鱼网站名单

浏览器会显示红色警告。

Chrome 使用 Google Safe Browsing 机制。

可在 Google Search Console 查看安全问题。

第七步：检查是否开启了 HTTP 强制跳转异常

常见错误：

• HTTP → HTTPS 重定向循环
• HTTPS → HTTP 错误跳转
• CDN 与源站协议不一致

可使用：

curl -I http://www.topssl.cn
curl -I https://www.topssl.cn

确认是否 301 正确跳转。

第八步：检查 HSTS 配置问题

如果曾开启 HSTS：

Strict-Transport-Security

但证书失效或配置错误：

浏览器会强制报错，无法绕过。

排查方式：

• 查看 Response Header
• 确认 max-age 是否合理

第九步：确认 CDN 或负载均衡证书是否同步

常见情况：

• 源站证书正常
• CDN 证书过期
• 或反向代理未更新

检查：

• CDN 控制台证书状态
• 负载均衡 HTTPS 监听器证书

第十步：确认时间与系统问题

少见但可能：

• 服务器时间错误
• 用户设备时间错误
• CA 信任库过旧

特别是在旧系统或嵌入式设备上。

常见错误代码对应排查方向

企业级排查建议流程

推荐标准排查顺序：

1. 有效期
2. 域名匹配
3. 证书链
4. Mixed Content
5. TLS 协议版本
6. CDN / 代理配置
7. HSTS
8. 浏览器安全标记

不要跳步骤。

什么时候应该考虑更换证书？

如果频繁出现：

• 自动续期失败
• 链不完整
• 多域名管理混乱
• 复杂 CDN 架构

可以考虑升级为企业级证书（OV 或 EV），并由商业 CA 签发，例如：DigiCert、GlobalSign

企业级证书通常：

• 提供完整部署支持
• 提供标准证书链文件
• 提供技术支持

总结

地址栏小锁消失的本质原因通常集中在：

• 证书过期
• 域名不匹配
• 证书链缺失
• 混合内容
• TLS 配置异常

技术排查应按照逻辑顺序逐项验证，而不是盲目重装证书。