币安 SSL 证书链核对与颁发主体|逐条对照 DigiCert 层级
Biabaflow 用浏览器、openssl 与在线证书查询工具三种手段核对 binance.com 的完整证书链,把根证书、中间证书、叶子证书的关键字段整理成对照表。
先说结论:币安全球站 binance.com 使用 DigiCert 颁发的 SSL 证书,完整证书链由三级组成:DigiCert Global Root G2 根证书、DigiCert 中间证书、颁发给 binance.com 的叶子证书。用浏览器点开小锁图标就能看到前两级,用 openssl 命令能拿到全部三级的 SHA-256 指纹。Biabaflow 实操流程站把三种核对方式与关键字段整理成对照表,让读者可以照着核对。
一、证书链结构
1.1 三级结构
- 根证书(Root CA):DigiCert Global Root G2
- 中间证书(Intermediate):DigiCert TLS RSA SHA256 2020 CA1 或 DigiCert Global G2 TLS RSA SHA256 2020 CA1
- 叶子证书(Leaf):颁发给 *.binance.com 或 binance.com
浏览器信任根证书,根证书签发中间证书,中间证书签发叶子证书。任何一级链断裂都会显示证书错误。
1.2 有效期
叶子证书的有效期通常是 90 到 365 天。DigiCert 逐步向更短的 90 天有效期推进。中间与根证书有效期更长,一般以年为单位。
1.3 为什么要核对
Q:普通用户为什么要看证书链?
A:钓鱼站也能用 https,但通常使用 Let's Encrypt 免费证书,颁发主体是 R3 或 R11,不是 DigiCert。核对颁发主体是快速识别真假的方法。
二、浏览器一键核对
2.1 Chrome / Edge
按顺序:
- 打开 www.binance.com;
- 点地址栏左侧小锁;
- 选择「Connection is secure」→「Certificate is valid」;
- 在弹出的证书面板里查看 Issued To 与 Issued By。
2.2 Firefox
Firefox 的入口略有不同:小锁 → Connection Secure → More Information → View Certificate。Firefox 会用一个专门的 tab 显示证书详情,字段更全。
2.3 Safari
Safari 用户:地址栏左侧小锁 → Show Certificate。
按浏览器不同,字段位置略有差异,但核心信息一致。
三、openssl 命令核对
3.1 拿到完整证书链
在命令行执行:
openssl s_client -connect www.binance.com:443 -showcerts
会输出完整的证书链,包含中间证书的 PEM 内容。
3.2 提取指纹
openssl x509 -in cert.pem -fingerprint -sha256
对每一级证书取指纹,与官方公示的指纹(在 www.binance.com/zh-CN/security 页面)对比。
3.3 常用字段速查
| 字段 | 说明 | 典型值 |
|---|---|---|
| Subject | 颁发对象 | binance.com |
| Issuer | 颁发者 | DigiCert |
| Valid From | 生效日期 | 近一年 |
| Valid To | 过期日期 | 90-365 天 |
| SAN | 子域名 | *.binance.com |
| Fingerprint | SHA-256 指纹 | 官网公示 |
四、指纹对照
Biabaflow 实操流程站在 2026 年 7 月核对到的指纹如下(示例,具体以最新公示为准):
| 层级 | 颁发方 | 备注 |
|---|---|---|
| Root | DigiCert Global Root G2 | 浏览器内置 |
| Intermediate | DigiCert TLS RSA SHA256 2020 CA1 | 变化频率低 |
| Leaf | binance.com | 每 90 天轮换 |
因为叶子证书会周期性轮换,指纹本身不长期有效。真正长期稳定的是 Issuer 主体(DigiCert)与 Subject 域名(binance.com)。
4.1 若指纹不一致
Q:官网公示指纹和我拿到的不一样怎么办?
A:先确认时间点:叶子证书轮换周期只有 90 天,官方公示可能更新滞后。若中间证书或根证书也不一致,很可能存在中间人劫持,立刻退出网络并换网。
4.2 使用在线工具
crt.sh、SSL Labs 都能查看 binance.com 的历史证书记录。若你怀疑存在异常,可以到 crt.sh 搜 binance.com,看是否有 CT 日志中新增的可疑证书。
五、日常快速核对
推荐三步走:
- 用浏览器点小锁看 Issuer 是不是 DigiCert;
- 若涉及大额操作,用 openssl 拿一次指纹;
- 若怀疑劫持,换网络(例如手机热点)重新核对。
任何时候若发现 Issuer 变成 Let's Encrypt、Sectigo、GeoTrust 之类非 DigiCert 系列,直接判定为可疑,不要在页面上输入任何账户信息。
想直接从可信入口进入,可以走 币安官网 或 立即注册币安;App 走 币安官方 App 下载页。或从 App 下载页 与 官网入口专题 找到入口。
5.1 风险提示
风险提示:企业 / 学校配置的代理服务器会插入自签名根证书做 SSL 检测,此时看到的 Issuer 会是企业内部 CA。这不是骗局,但也不是币安官方证书,此时不建议在企业代理下做币安交易。
六、Biabaflow 复测承诺
- 每季度核对一次证书链结构;
- 若 DigiCert 更换中间证书体系会在文档中更新;
- 若币安更换 CA 提供商会同步跟进。
七、常见问题
问:证书快过期是不是钓鱼?
A:不是。DigiCert 会在过期前几天自动续签,用户看到剩余几天并不代表异常。
问:为什么有的浏览器显示证书面板不一样?
A:不同浏览器 UI 差异,字段本身一致。可以随时用 openssl 命令统一核对。
问:手机上怎么看证书?
A:iOS Safari 支持点小锁看证书。Android Chrome 需要在开发者工具中查看。若不便查看,用 openssl 命令替代。
问:中间证书会不会经常换?
A:会。DigiCert 定期升级中间证书体系,一般每年会有一次更新。Biabaflow 会在中间证书更换后及时更新文档。
问:Biabaflow 会公开指纹历史吗?
A:出于时效性,Biabaflow 只保留最近一次核对结果,历史指纹可以在 crt.sh 上查询。
文档发布于 2026-07-09,下次复测计划 2026-10-01。