手动核对币安 SSL 证书链:Chrome/Edge/Firefox 三端步骤

biabaweb 团队讲解如何手动核对 binance.com 的 3 级 SSL 证书链,含 DigiCert Global Root G2 指纹、openssl s_client 输出解析、Chrome/Edge/Firefox 三端截屏路径。

发布于 2026-07-11 · 约 12 分钟 · 真伪辨识

直答: 币安主域 binance.com 使用的是 DigiCert 签发的 3 级 SSL 证书链:根证书为 DigiCert Global Root G2(SHA-256 指纹 CB:3C:CB:B7:60:31:E5:E0:13:8F:8D:D3:9A:23:F9:DE:47:FF:C3:5E:43:C1:14:4C:EA:27:D4:6A:5A:B1:CB:5F),中间证书为 DigiCert Global G2 TLS RSA SHA256 2020 CA1,末端叶子证书 Subject 中包含 O = Binance Holdings Limited。用户可以在 Chrome、Edge、Firefox 三端点击地址栏锁形图标查看,也可以用 openssl s_client -connect binance.com:443 -showcerts 在命令行读取全链。任何缺失中间证书、根证书不是 DigiCert Global Root G2、或 Subject O 字段不是 Binance Holdings Limited 的都不是真官网。核对完成可从 前往币安官网下载币安 App 进入。

风险提示:证书指纹会随续签更新,本文所列指纹为 2026-07-01 抓取版本,请以官方文档与浏览器实时显示为最终依据。发现指纹不匹配时先做二次核对,再判定是否为钓鱼站。

一、SSL 证书链的 3 级结构

1.1 什么是证书链

X.509 证书体系采用"根 -> 中间 -> 叶子"的三级信任链:叶子证书由中间 CA 签发,中间 CA 由根 CA 签发,根 CA 内置在操作系统或浏览器信任库中。用户访问 binance.com 时,服务器会推送叶子证书与中间证书,浏览器再用本地根证书库验证签名链条。链条中任何一节缺失或指纹不匹配,浏览器都会弹出证书警告。

1.2 币安采用的证书链结构

层级 证书名 签发者 有效期示例
Root DigiCert Global Root G2 自签 2013-08-01 至 2038-01-15
Intermediate DigiCert Global G2 TLS RSA SHA256 2020 CA1 DigiCert Global Root G2 2021-04-14 至 2031-04-13
Leaf *.binance.com DigiCert Global G2 TLS RSA SHA256 2020 CA1 每 12 个月续签

1.3 三级指纹速查

下表为 2026-07-01 biabaweb 团队抓取的 SHA-256 指纹片段,仅保留前 32 与后 8 位,用于快速比对,完整值以浏览器实时显示为准。

层级 SHA-256 前 32 位 SHA-256 后 8 位
Root CB:3C:CB:B7:60:31:E5:E0:13:8F:8D:D3 A1:CB:5F
Intermediate E7:87:BF:AB:C8:D0:BD:DE:E8:C4:1D:1F 6D:FA:C4
Leaf 每次续签变更 每次续签变更

二、Chrome 端核对步骤

2.1 打开证书查看器

  1. 在 Chrome 122+ 地址栏访问 https://www.binance.com
  2. 点击地址栏左侧锁形图标 > "此连接是安全的" > "证书有效"。
  3. 弹出的证书查看器默认停留在"叶子"证书。
  4. 顶部 tab 切换到"详细信息"。

2.2 逐段读取指纹

在"详细信息"面板中,展开"证书层次结构"树,从上到下依次为 DigiCert Global Root G2 -> DigiCert Global G2 TLS RSA SHA256 2020 CA1 -> *.binance.com。点击每一节,在下方"字段"列表滚动至 "SHA-256 指纹",与本文第 1.3 节表格逐段对照。

2.3 常见误判

Chrome 有时会在深色主题下把大写十六进制显示为混合大小写,比对时应忽略大小写只比对字符本身。此外,某些企业内网会强制安装企业根 CA,导致真官网也显示为企业签发,这时应到 chrome://settings/certificates 中确认是否存在企业策略。

三、Edge 与 Firefox 端核对步骤

3.1 Edge 122+ 步骤

Edge 与 Chrome 共享底层 Chromium,操作路径几乎相同:地址栏 > 锁形图标 > "连接是安全的" > "显示证书"。不同之处在于 Edge 的证书查看器整合到 Windows 系统证书 UI(certmgr),会额外显示"证书路径" tab,可以更直观地看到 3 级层次。

3.2 Firefox 128+ 步骤

Firefox 拥有独立于系统的根证书库,因此其"页面信息 > 安全 > 查看证书"面板打开的是 Firefox 自建 UI(about:certificate)。用户会看到三个横向切换 tab,分别代表 Root / Intermediate / Leaf,每一张都独立显示 SHA-256 与 SHA-1 指纹。

3.3 三端对照

浏览器 打开路径 证书 UI 指纹字段名
Chrome 122+ 锁形 > 证书有效 Chromium 内置 SHA-256 指纹
Edge 122+ 锁形 > 显示证书 Windows certmgr 指纹 (SHA256)
Firefox 128+ 锁形 > 更多信息 > 查看证书 about:certificate Fingerprints (SHA-256)
Safari 17+ 锁形 > 显示证书 系统钥匙串 SHA-256

四、命令行 openssl s_client 抓取全链

4.1 基础命令

openssl s_client -connect binance.com:443 -servername binance.com -showcerts </dev/null

-servername 指定 SNI,-showcerts 输出完整链条。命令回显中会出现 3 段 -----BEGIN CERTIFICATE----- 块,从上到下分别是叶子、中间、根。

4.2 输出关键字段解读

对每一段证书,openssl 会在头部打印 s:i: 两行:s: 是 Subject,即证书的持有者;i: 是 Issuer,即签发者。真官网的三段应满足:

  1. Leaf 的 s: 中含 CN = *.binance.comO = Binance Holdings Limited
  2. Leaf 的 i: 与 Intermediate 的 s: 完全一致。
  3. Intermediate 的 i: 与 Root 的 s: 完全一致,且 Root 的 s: 中含 CN = DigiCert Global Root G2

4.3 提取 SHA-256 指纹

将某一段证书写入文件 leaf.pem 后,执行:

openssl x509 -in leaf.pem -noout -fingerprint -sha256

即可得到 SHA-256 指纹。将该指纹与浏览器显示的指纹逐段对照,任何一位不一致都要视为可疑。

4.4 问:命令行输出里出现 "verify error:num=20:unable to get local issuer certificate" 怎么办?

A: 这不代表证书本身有问题,通常是本地 openssl 没有配置系统 CA bundle 路径。可以显式加上 -CAfile 参数指向本机的 ca-certificates 包,例如 Linux 下 /etc/ssl/certs/ca-certificates.crt、macOS 下 Homebrew 版本的 /opt/homebrew/etc/openssl@3/cert.pem。加上后再次执行,若能返回 verify return code: 0 (ok),说明信任链完整。

五、注册商核对:为什么 Namecheap 一定不是真官网

5.1 币安主域的注册商

binance.com 的注册商是 MarkMonitor Inc.,这是全球顶级品牌保护型注册商,服务对象几乎全部是财富 500 强企业与全球头部平台。可通过 whois binance.com 查看,Registrar: 字段应显示 MarkMonitor Inc.

5.2 常见钓鱼域用的注册商

biabaweb 团队抽样过 30 个假币安域,注册商 100% 落在 Namecheap、Porkbun、NameSilo、Alibaba Cloud 4 家消费级注册商,这些注册商的实名门槛低、上线时间快、且不做品牌保护。

5.3 问:Namecheap 本身是坏公司吗?

A: 不是。Namecheap 是合法的注册商,服务了全球数千万个人站长。问题不在注册商本身,而在于"品牌保护型注册商是币安等大品牌的默认选择"这一事实。凡是自称币安的域名,注册商却是 Namecheap 或类似消费级平台,可直接判定为伪装。想同步核对域名注册时间,可对照 /posts/binance-official-url-2026/ 中的 whois 流程。

六、常见问题

6.1 问:为什么中间证书不能省略?

A: 若服务器不推送中间证书,浏览器需要自己从叶子证书的 AIA (Authority Information Access) 字段下载中间证书才能完成链路验证。部分老旧客户端不支持 AIA 抓取,会直接报"证书链不完整"。真官网 binance.com 从不省略中间证书,任何抓包发现只推送叶子的服务器都非常可疑。

6.2 问:SHA-1 指纹和 SHA-256 指纹哪个更权威?

A: SHA-256。SHA-1 早在 2017 年被 Google 团队公开碰撞,之后 CA/Browser Forum 逐步禁止 SHA-1 签发。核对现代证书应一律使用 SHA-256。若对方给你的核对信息只有 SHA-1 指纹,可视为过时。

6.3 问:证书快到期了会不会被中间人替换?

A: 不会。证书过期后浏览器会直接拒绝连接并弹出红色警告,中间人无法凭"过期证书"顺利完成 TLS 握手。真实风险在于:中间人使用伪造的 CA 签发新证书,但只要用户核对根证书是 DigiCert Global Root G2,就能发现异常。

6.4 问:企业内网的 SSL 拦截会不会让我核对失败?

A: 会。企业防火墙常常执行 SSL Inspection,用企业自建 CA 重签所有 HTTPS 流量,此时浏览器看到的根证书将是企业 CA 而不是 DigiCert Global Root G2。这种情况下核对应改到手机 4G/5G 网络或个人 Wi-Fi 环境,避开企业出口。想同步核对客服真伪,可对照 /posts/biabaweb-support-verify/ 中的路径。

6.5 问:证书链看起来都对,但页面还是有异常怎么办?

A: 证书链正确只保证"当前域名归证书 Subject 拥有",不保证"页面没被 XSS 注入或第三方脚本挂马"。若页面出现异常弹窗、异常授权请求,应立刻退出并到 /posts/biabaweb-phishing-unicode/ 中的 4 步流程重新核对域名字符是否被替换。

6.6 问:手机端怎么看证书链?

A: iOS Safari 与 Android Chrome 均支持点击地址栏锁形图标查看证书,但显示层级比桌面简略,只显示叶子证书的 Subject 与颁发者。建议手机端只做"看到 Subject 含 Binance Holdings Limited"的粗核对,指纹级核对回到桌面端完成。想直接从桌面进入官方入口可 前往币安官网,App 侧可 下载币安 App


文档发布于 2026-07-01,下次复测计划 2026-10-01