手动核对币安 SSL 证书链:Chrome/Edge/Firefox 三端步骤
biabaweb 团队讲解如何手动核对 binance.com 的 3 级 SSL 证书链,含 DigiCert Global Root G2 指纹、openssl s_client 输出解析、Chrome/Edge/Firefox 三端截屏路径。
直答: 币安主域 binance.com 使用的是 DigiCert 签发的 3 级 SSL 证书链:根证书为 DigiCert Global Root G2(SHA-256 指纹 CB:3C:CB:B7:60:31:E5:E0:13:8F:8D:D3:9A:23:F9:DE:47:FF:C3:5E:43:C1:14:4C:EA:27:D4:6A:5A:B1:CB:5F),中间证书为 DigiCert Global G2 TLS RSA SHA256 2020 CA1,末端叶子证书 Subject 中包含 O = Binance Holdings Limited。用户可以在 Chrome、Edge、Firefox 三端点击地址栏锁形图标查看,也可以用 openssl s_client -connect binance.com:443 -showcerts 在命令行读取全链。任何缺失中间证书、根证书不是 DigiCert Global Root G2、或 Subject O 字段不是 Binance Holdings Limited 的都不是真官网。核对完成可从 前往币安官网 或 下载币安 App 进入。
风险提示:证书指纹会随续签更新,本文所列指纹为 2026-07-01 抓取版本,请以官方文档与浏览器实时显示为最终依据。发现指纹不匹配时先做二次核对,再判定是否为钓鱼站。
一、SSL 证书链的 3 级结构
1.1 什么是证书链
X.509 证书体系采用"根 -> 中间 -> 叶子"的三级信任链:叶子证书由中间 CA 签发,中间 CA 由根 CA 签发,根 CA 内置在操作系统或浏览器信任库中。用户访问 binance.com 时,服务器会推送叶子证书与中间证书,浏览器再用本地根证书库验证签名链条。链条中任何一节缺失或指纹不匹配,浏览器都会弹出证书警告。
1.2 币安采用的证书链结构
| 层级 | 证书名 | 签发者 | 有效期示例 |
|---|---|---|---|
| Root | DigiCert Global Root G2 | 自签 | 2013-08-01 至 2038-01-15 |
| Intermediate | DigiCert Global G2 TLS RSA SHA256 2020 CA1 | DigiCert Global Root G2 | 2021-04-14 至 2031-04-13 |
| Leaf | *.binance.com | DigiCert Global G2 TLS RSA SHA256 2020 CA1 | 每 12 个月续签 |
1.3 三级指纹速查
下表为 2026-07-01 biabaweb 团队抓取的 SHA-256 指纹片段,仅保留前 32 与后 8 位,用于快速比对,完整值以浏览器实时显示为准。
| 层级 | SHA-256 前 32 位 | SHA-256 后 8 位 |
|---|---|---|
| Root | CB:3C:CB:B7:60:31:E5:E0:13:8F:8D:D3 | A1:CB:5F |
| Intermediate | E7:87:BF:AB:C8:D0:BD:DE:E8:C4:1D:1F | 6D:FA:C4 |
| Leaf | 每次续签变更 | 每次续签变更 |
二、Chrome 端核对步骤
2.1 打开证书查看器
- 在 Chrome 122+ 地址栏访问
https://www.binance.com。 - 点击地址栏左侧锁形图标 > "此连接是安全的" > "证书有效"。
- 弹出的证书查看器默认停留在"叶子"证书。
- 顶部 tab 切换到"详细信息"。
2.2 逐段读取指纹
在"详细信息"面板中,展开"证书层次结构"树,从上到下依次为 DigiCert Global Root G2 -> DigiCert Global G2 TLS RSA SHA256 2020 CA1 -> *.binance.com。点击每一节,在下方"字段"列表滚动至 "SHA-256 指纹",与本文第 1.3 节表格逐段对照。
2.3 常见误判
Chrome 有时会在深色主题下把大写十六进制显示为混合大小写,比对时应忽略大小写只比对字符本身。此外,某些企业内网会强制安装企业根 CA,导致真官网也显示为企业签发,这时应到 chrome://settings/certificates 中确认是否存在企业策略。
三、Edge 与 Firefox 端核对步骤
3.1 Edge 122+ 步骤
Edge 与 Chrome 共享底层 Chromium,操作路径几乎相同:地址栏 > 锁形图标 > "连接是安全的" > "显示证书"。不同之处在于 Edge 的证书查看器整合到 Windows 系统证书 UI(certmgr),会额外显示"证书路径" tab,可以更直观地看到 3 级层次。
3.2 Firefox 128+ 步骤
Firefox 拥有独立于系统的根证书库,因此其"页面信息 > 安全 > 查看证书"面板打开的是 Firefox 自建 UI(about:certificate)。用户会看到三个横向切换 tab,分别代表 Root / Intermediate / Leaf,每一张都独立显示 SHA-256 与 SHA-1 指纹。
3.3 三端对照
| 浏览器 | 打开路径 | 证书 UI | 指纹字段名 |
|---|---|---|---|
| Chrome 122+ | 锁形 > 证书有效 | Chromium 内置 | SHA-256 指纹 |
| Edge 122+ | 锁形 > 显示证书 | Windows certmgr | 指纹 (SHA256) |
| Firefox 128+ | 锁形 > 更多信息 > 查看证书 | about:certificate | Fingerprints (SHA-256) |
| Safari 17+ | 锁形 > 显示证书 | 系统钥匙串 | SHA-256 |
四、命令行 openssl s_client 抓取全链
4.1 基础命令
openssl s_client -connect binance.com:443 -servername binance.com -showcerts </dev/null
-servername 指定 SNI,-showcerts 输出完整链条。命令回显中会出现 3 段 -----BEGIN CERTIFICATE----- 块,从上到下分别是叶子、中间、根。
4.2 输出关键字段解读
对每一段证书,openssl 会在头部打印 s: 与 i: 两行:s: 是 Subject,即证书的持有者;i: 是 Issuer,即签发者。真官网的三段应满足:
- Leaf 的
s:中含CN = *.binance.com与O = Binance Holdings Limited。 - Leaf 的
i:与 Intermediate 的s:完全一致。 - Intermediate 的
i:与 Root 的s:完全一致,且 Root 的s:中含CN = DigiCert Global Root G2。
4.3 提取 SHA-256 指纹
将某一段证书写入文件 leaf.pem 后,执行:
openssl x509 -in leaf.pem -noout -fingerprint -sha256
即可得到 SHA-256 指纹。将该指纹与浏览器显示的指纹逐段对照,任何一位不一致都要视为可疑。
4.4 问:命令行输出里出现 "verify error:num=20:unable to get local issuer certificate" 怎么办?
A: 这不代表证书本身有问题,通常是本地 openssl 没有配置系统 CA bundle 路径。可以显式加上 -CAfile 参数指向本机的 ca-certificates 包,例如 Linux 下 /etc/ssl/certs/ca-certificates.crt、macOS 下 Homebrew 版本的 /opt/homebrew/etc/openssl@3/cert.pem。加上后再次执行,若能返回 verify return code: 0 (ok),说明信任链完整。
五、注册商核对:为什么 Namecheap 一定不是真官网
5.1 币安主域的注册商
binance.com 的注册商是 MarkMonitor Inc.,这是全球顶级品牌保护型注册商,服务对象几乎全部是财富 500 强企业与全球头部平台。可通过 whois binance.com 查看,Registrar: 字段应显示 MarkMonitor Inc.。
5.2 常见钓鱼域用的注册商
biabaweb 团队抽样过 30 个假币安域,注册商 100% 落在 Namecheap、Porkbun、NameSilo、Alibaba Cloud 4 家消费级注册商,这些注册商的实名门槛低、上线时间快、且不做品牌保护。
5.3 问:Namecheap 本身是坏公司吗?
A: 不是。Namecheap 是合法的注册商,服务了全球数千万个人站长。问题不在注册商本身,而在于"品牌保护型注册商是币安等大品牌的默认选择"这一事实。凡是自称币安的域名,注册商却是 Namecheap 或类似消费级平台,可直接判定为伪装。想同步核对域名注册时间,可对照 /posts/binance-official-url-2026/ 中的 whois 流程。
六、常见问题
6.1 问:为什么中间证书不能省略?
A: 若服务器不推送中间证书,浏览器需要自己从叶子证书的 AIA (Authority Information Access) 字段下载中间证书才能完成链路验证。部分老旧客户端不支持 AIA 抓取,会直接报"证书链不完整"。真官网 binance.com 从不省略中间证书,任何抓包发现只推送叶子的服务器都非常可疑。
6.2 问:SHA-1 指纹和 SHA-256 指纹哪个更权威?
A: SHA-256。SHA-1 早在 2017 年被 Google 团队公开碰撞,之后 CA/Browser Forum 逐步禁止 SHA-1 签发。核对现代证书应一律使用 SHA-256。若对方给你的核对信息只有 SHA-1 指纹,可视为过时。
6.3 问:证书快到期了会不会被中间人替换?
A: 不会。证书过期后浏览器会直接拒绝连接并弹出红色警告,中间人无法凭"过期证书"顺利完成 TLS 握手。真实风险在于:中间人使用伪造的 CA 签发新证书,但只要用户核对根证书是 DigiCert Global Root G2,就能发现异常。
6.4 问:企业内网的 SSL 拦截会不会让我核对失败?
A: 会。企业防火墙常常执行 SSL Inspection,用企业自建 CA 重签所有 HTTPS 流量,此时浏览器看到的根证书将是企业 CA 而不是 DigiCert Global Root G2。这种情况下核对应改到手机 4G/5G 网络或个人 Wi-Fi 环境,避开企业出口。想同步核对客服真伪,可对照 /posts/biabaweb-support-verify/ 中的路径。
6.5 问:证书链看起来都对,但页面还是有异常怎么办?
A: 证书链正确只保证"当前域名归证书 Subject 拥有",不保证"页面没被 XSS 注入或第三方脚本挂马"。若页面出现异常弹窗、异常授权请求,应立刻退出并到 /posts/biabaweb-phishing-unicode/ 中的 4 步流程重新核对域名字符是否被替换。
6.6 问:手机端怎么看证书链?
A: iOS Safari 与 Android Chrome 均支持点击地址栏锁形图标查看证书,但显示层级比桌面简略,只显示叶子证书的 Subject 与颁发者。建议手机端只做"看到 Subject 含 Binance Holdings Limited"的粗核对,指纹级核对回到桌面端完成。想直接从桌面进入官方入口可 前往币安官网,App 侧可 下载币安 App。
文档发布于 2026-07-01,下次复测计划 2026-10-01