在互联网时代，HTTPS加密已成为网站安全的标配。但你知道吗？即使浏览器显示“小锁图标”，也可能遇到非法证书的风险！这些证书轻则导致隐私泄露，重则引发钓鱼攻击。本文用大白话+案例，带你快速识别5类常见非法HTTPS证书。

一、什么是“非法HTTPS证书”？

简单说就是不被浏览器或操作系统信任的证书。好比有人伪造了警察证件（证书），虽然看起来像真的，但系统一查就发现是假的。常见场景：

- 企业内网自签证书：公司自己生成的证书（如OA系统），但未受公共CA机构认可。

- 黑客伪造的证书：中间人攻击时，攻击者伪造的假证书。

案例：2025年某银行员工点击钓鱼邮件，黑客用自签证书劫持HTTPS流量，最终窃取客户数据。

二、5种常见的非法HTTPS证书类型

1. 自签名证书（Self-Signed Certificate）

- 特征：自己给自己颁发，无第三方CA认证。

- 风险点：无法验证身份，易被仿冒。

- 如何识别：浏览器提示“此网站的安全证书有问题”（如下图）。


2. 过期证书（Expired Certificate）

- 特征：超过有效期（通常1-2年）。

- 风险点：可能被利用漏洞发起攻击。

- 案例：2025年某电商网站因忘记更新证书，用户访问时被跳转到钓鱼页面。

3. 域名不匹配的证书（Domain Mismatch）

- 特征：证书注册的域名与实际访问域名不符（如申请的是`*.baidu.com`，但用在`taobao.com`）。

- 风险点：可能是中间人攻击或配置错误。

4. 吊销的证书（Revoked Certificate）

- 特征：因私钥泄露等原因被CA机构主动作废。

- 如何识别：浏览器会提示“此证书已被吊销”。

5. 不受信任的根证书（Untrusted Root CA）

- 特征：颁发机构不在操作系统/浏览器的信任列表中（如某些小众CA）。

- **案例*

TAG:哪些https网页非法证书,网站非法请求什么原因,非法网站指什么,当前网站证书非法或包含错误,非法网站名单,非法网站定义