在Web安全领域，HTTPS证书就像网站的"身份证"，而Node.js作为后端利器，经常需要与证书打交道。今天我将用渗透测试工程师的视角，带你看透Node.js获取HTTPS证书的底层逻辑和实战技巧。

一、为什么需要获取HTTPS证书？

想象你正在做安全审计：

1. 证书过期检测：发现某子域名证书3天后到期

2. 指纹比对：识别中间人攻击伪造的证书

3. 漏洞挖掘：检查弱加密算法（如SHA-1）

去年某电商就因未监控证书过期，导致支付页面被浏览器标记为"不安全"，直接损失千万订单。

二、核心方法解剖

方法1：使用内置`https`模块（最简方案）

```javascript

const https = require('https');

https.get('https://example.com', (res) => {

const cert = res.socket.getPeerCertificate();

console.log('颁发者:', cert.issuer.CN);

console.log('有效期至:', cert.valid_to);

}).on('error', (e) => {

console.error(e);

});

```

输出示例：

颁发者: DigiCert TLS RSA SHA256 2025 CA1

有效期至: Aug 12 23:59:59 2025 GMT

方法2：OpenSSL命令行集成（适合批量扫描）

const { execSync } = require('child_process');

function getCertByOpenSSL(domain) {

const cmd = `openssl s_client -connect ${domain}:443 -servername ${domain}

return execSync(cmd).toString();

}

console.log(getCertByOpenSSL('github.com'));

优势：能获取完整的PEM格式证书，便于后续解析。

方法3：第三方库`node-forge`（深度解析）

const forge = require('node-forge');

https.get('https://baidu.com', (res) => {

const pem = forge.pki.certificateToPem(res.socket.getPeerCertificate(true));

const cert = forge.pki.certificateFromPem(pem);

console.log('SAN扩展:',

cert.getExtension('subjectAltName').altNames.map(d => d.value));

典型输出：

SAN扩展: [ 'baidu.com', 'www.baidu.com', '*.baidu.com' ]

三、安全工程师的进阶技巧

█ TLS指纹伪装检测

黑客常用工具会暴露特定指纹：

// 检测是否是Burp Suite的代理

if (cert.issuer.O === 'PortSwigger Ltd') {

console.warn('[!] Burp Suite拦截警告');

█ CRL/OCSP检查（证书吊销状态）

const crl = require('crl');

crl.check(cert).then(revoked => {

if (revoked) console.error('该证书已被吊销！');

█ CAA记录校验

防止非法CA机构签发证书：

```bash

dig example.com CAA +short

→ "0 issue \"letsencrypt.org\""

四、生产环境注意事项

1. 超时控制：务必添加超时逻辑，避免阻塞事件循环

```javascript

https.request({ hostname, timeout: 3000 });

```

2. 错误处理：

process.on('unhandledRejection', (err) => {

if (err.code === 'CERT_HAS_EXPIRED') {

alertAdmin();

}

});

3. 性能优化：建议使用连接池复用TCP连接

/历史漏洞案例/

2025年GoDaddy曾因API缺陷导致数千张证书被恶意获取，攻击者正是通过类似Node.js的脚本自动化批量下载。

现在你已经掌握了从基础到企业级的实操方案。下次遇到"ERR_CERT_AUTHORITY_INVALID"报警时，不妨写个Node脚本自动巡检所有域名证书状态。毕竟在安全领域，自动化才是对抗规模化的终极武器。

TAG:nodejs获取https证书,nodejs请求https,nodejs ssl证书,nodejs获取客户端设备信息,nodejs获取post数据,获取nodejs命令行信息