币安 SSL 证书链核对与颁发主体|逐条对照 DigiCert 层级

Biabaflow 用浏览器、openssl 与在线证书查询工具三种手段核对 binance.com 的完整证书链,把根证书、中间证书、叶子证书的关键字段整理成对照表。

发布于 2026-07-09 · 约 6 分钟 · 真伪辨识

先说结论:币安全球站 binance.com 使用 DigiCert 颁发的 SSL 证书,完整证书链由三级组成:DigiCert Global Root G2 根证书、DigiCert 中间证书、颁发给 binance.com 的叶子证书。用浏览器点开小锁图标就能看到前两级,用 openssl 命令能拿到全部三级的 SHA-256 指纹。Biabaflow 实操流程站把三种核对方式与关键字段整理成对照表,让读者可以照着核对。

一、证书链结构

1.1 三级结构

  • 根证书(Root CA):DigiCert Global Root G2
  • 中间证书(Intermediate):DigiCert TLS RSA SHA256 2020 CA1 或 DigiCert Global G2 TLS RSA SHA256 2020 CA1
  • 叶子证书(Leaf):颁发给 *.binance.com 或 binance.com

浏览器信任根证书,根证书签发中间证书,中间证书签发叶子证书。任何一级链断裂都会显示证书错误。

1.2 有效期

叶子证书的有效期通常是 90 到 365 天。DigiCert 逐步向更短的 90 天有效期推进。中间与根证书有效期更长,一般以年为单位。

1.3 为什么要核对

Q:普通用户为什么要看证书链?

A:钓鱼站也能用 https,但通常使用 Let's Encrypt 免费证书,颁发主体是 R3 或 R11,不是 DigiCert。核对颁发主体是快速识别真假的方法。

二、浏览器一键核对

2.1 Chrome / Edge

按顺序:

  1. 打开 www.binance.com;
  2. 点地址栏左侧小锁;
  3. 选择「Connection is secure」→「Certificate is valid」;
  4. 在弹出的证书面板里查看 Issued To 与 Issued By。

2.2 Firefox

Firefox 的入口略有不同:小锁 → Connection Secure → More Information → View Certificate。Firefox 会用一个专门的 tab 显示证书详情,字段更全。

2.3 Safari

Safari 用户:地址栏左侧小锁 → Show Certificate。

按浏览器不同,字段位置略有差异,但核心信息一致。

三、openssl 命令核对

3.1 拿到完整证书链

在命令行执行:

openssl s_client -connect www.binance.com:443 -showcerts

会输出完整的证书链,包含中间证书的 PEM 内容。

3.2 提取指纹

openssl x509 -in cert.pem -fingerprint -sha256

对每一级证书取指纹,与官方公示的指纹(在 www.binance.com/zh-CN/security 页面)对比。

3.3 常用字段速查

字段 说明 典型值
Subject 颁发对象 binance.com
Issuer 颁发者 DigiCert
Valid From 生效日期 近一年
Valid To 过期日期 90-365 天
SAN 子域名 *.binance.com
Fingerprint SHA-256 指纹 官网公示

四、指纹对照

Biabaflow 实操流程站在 2026 年 7 月核对到的指纹如下(示例,具体以最新公示为准):

层级 颁发方 备注
Root DigiCert Global Root G2 浏览器内置
Intermediate DigiCert TLS RSA SHA256 2020 CA1 变化频率低
Leaf binance.com 每 90 天轮换

因为叶子证书会周期性轮换,指纹本身不长期有效。真正长期稳定的是 Issuer 主体(DigiCert)与 Subject 域名(binance.com)。

4.1 若指纹不一致

Q:官网公示指纹和我拿到的不一样怎么办?

A:先确认时间点:叶子证书轮换周期只有 90 天,官方公示可能更新滞后。若中间证书或根证书也不一致,很可能存在中间人劫持,立刻退出网络并换网。

4.2 使用在线工具

crt.sh、SSL Labs 都能查看 binance.com 的历史证书记录。若你怀疑存在异常,可以到 crt.sh 搜 binance.com,看是否有 CT 日志中新增的可疑证书。

五、日常快速核对

推荐三步走:

  1. 用浏览器点小锁看 Issuer 是不是 DigiCert;
  2. 若涉及大额操作,用 openssl 拿一次指纹;
  3. 若怀疑劫持,换网络(例如手机热点)重新核对。

任何时候若发现 Issuer 变成 Let's Encrypt、Sectigo、GeoTrust 之类非 DigiCert 系列,直接判定为可疑,不要在页面上输入任何账户信息。

想直接从可信入口进入,可以走 币安官网立即注册币安;App 走 币安官方 App 下载页。或从 App 下载页官网入口专题 找到入口。

5.1 风险提示

风险提示:企业 / 学校配置的代理服务器会插入自签名根证书做 SSL 检测,此时看到的 Issuer 会是企业内部 CA。这不是骗局,但也不是币安官方证书,此时不建议在企业代理下做币安交易。

六、Biabaflow 复测承诺

  • 每季度核对一次证书链结构;
  • 若 DigiCert 更换中间证书体系会在文档中更新;
  • 若币安更换 CA 提供商会同步跟进。

七、常见问题

问:证书快过期是不是钓鱼?

A:不是。DigiCert 会在过期前几天自动续签,用户看到剩余几天并不代表异常。

问:为什么有的浏览器显示证书面板不一样?

A:不同浏览器 UI 差异,字段本身一致。可以随时用 openssl 命令统一核对。

问:手机上怎么看证书?

A:iOS Safari 支持点小锁看证书。Android Chrome 需要在开发者工具中查看。若不便查看,用 openssl 命令替代。

问:中间证书会不会经常换?

A:会。DigiCert 定期升级中间证书体系,一般每年会有一次更新。Biabaflow 会在中间证书更换后及时更新文档。

问:Biabaflow 会公开指纹历史吗?

A:出于时效性,Biabaflow 只保留最近一次核对结果,历史指纹可以在 crt.sh 上查询。

文档发布于 2026-07-09,下次复测计划 2026-10-01。