對于ssl證書鏈檢測，主要是兩方面，一是ssl證書鏈中證書個體的檢測，另外一個是ssl證書鏈整體的檢測。對于前者，與之前服務器證書檢測一樣，主要也是檢測是否過期、簽名是否安全等，外加是否屬于自簽名證書（即自己給自己簽發，也就是SubjectKeyId與AuthorityKeyId相同）。對于ssl證書鏈檢測，主要集中哪幾點呢？

分別集中在以下這幾點：

一、ssl證書鏈長度檢測。既然都稱為鏈了，那長度最起碼也得大于2吧。而最長長度也得要有一定的限制，畢竟沒有哪個瀏覽器證書鏈包含十幾份證書，具體上限是多少，小編我沒有找到相關資料，可以自行設定，根據后續檢測結果調整。

二、ssl證書鏈順序檢測。這里順序檢測主要是保證下級證書必須是由上級機構簽發，即證書鏈中，下級證書的AuthorityKeyId要與上一級證書的SubjectKeyId相等。

三、ssl證書鏈根證書檢測。這里要進行根證書的可信檢測，主要是指證書鏈的根部證書必須包含在已知的可信根證書集中，這是保證后續簽發證書可信的必要條件。

ssl證書鏈長度檢測比較簡單，編程獲取的證書信息中都會包含證書鏈信息，一般以列表形式存在，只要檢測其列表長度即可。

ssl證書順序的檢測需要從服務端證書開始，依次檢測該證書的AuthorityKeyId是否與列表中下一證書的SubjectKeyId一致，保證下級證書由上級機構簽發。

根ssl證書可信的檢測，主要是檢測證書鏈中根部證書是否可信。瀏覽器和操作系統中一般都會自帶大量可信CA根證書，例如：

除此之外還有類似aosp.pem，apple.pem，microsoft.pem，java.pem，mozilla.pem等作為補充，總之，可以包含你所知道的所有可信根證書集合，越全越好，甚至可以把那些瀏覽器不信任但我們認為可信的根證書也包含在內，比如SRCA。對于可信CA根證書的檢測，只需確定證書鏈中的根證書是否屬于所提供的可信CA根證書集即可，具體到細節實現，就是判斷ssl證書鏈根證書的SubjectKeyId是否包含在上述證書集組成的字典（key為SubjectKeyId，value可以為證書）中，當然其中需要一些細節處理。小編這里就不詳細解說，如果你還有疑問，請咨詢恒訊科技技術人員。