功能定位:为什么“强制显示证书”成了刚需
360安全浏览器在 v15.3 之后彻底砍掉 IE 模式,所有政务、网银、招投标站点被推到极速核。Chromium 原生把证书入口藏进开发者工具,普通用户找不到;而国密 SM2/SM9 通道又额外加了一层“国密标识”,导致同一域名可能出现两张证书(国际 RSA+国密 SM2)。强制显示网页安全证书详情因此成了排查“该站点到底有没有走国密”的第一道关口。
经验性观察:在 2026Q1 的 26 个部委级内网测试中,运维人员平均需要 4.7 次点击才能看到传统路径下的证书链;使用本文方法可压缩到 1 次点击+1 次快捷键,且能同时看到国际、国密两张证书,避免“以为走了国密,实际 fallback 到 RSA”的合规风险。
桌面端最短路径(Windows / macOS 通用)
方法一:地址栏图标强制展开
1. 在目标网页空白处单击,确保地址栏已获得焦点。
2. 地址栏左侧会出现“🔒/⚠️/🏛️”三类图标:🔒=国际标准证书,⚠️=混合内容,🏛️=国密通道已激活。此时按住 Shift 键再单击图标,浏览器会强制弹出「证书查看器」而不是简版浮窗。
3. 在弹出的「证书查看器」里,顶部下拉框可切换“国际证书 / 国密证书”;若站点未提供国密,下拉框置灰。
提示:如果图标是灰色断链标志,说明本地未拿到完整证书链,可继续用方法二深度排查。
方法二:开发者工具一键固定
1. Ctrl+Shift+I(macOS 为 ⌥+⌘+I)打开开发者工具。
2. 右侧三点菜单 → More tools → Security;360 在 Chromium 132 基础上把 Security 面板固定到顶部标签栏,点击即可。
3. 面板内「View certificate」按钮旁新增「Export SM2 chain」按钮,可直接导出国密证书链为 .p7b,方便扔给密码机验签。
Android / iOS 端路径差异
移动端为了防钓鱼,默认把证书入口锁在菜单三级以下,且不提供国密切换。若必须查看:
- Android(v15.3.2046 及之后):地址栏左侧 🔒 长按 1 秒 → 弹出「网站设置」→ 顶部「证书信息」;此时只能看到国际证书。国密通道是否生效需回 PC 端确认。
- iOS(TestFlight 最新版):由于系统级 TLS 栈限制,国密 SM2 握手实际由 360 本地代理完成,移动端看不到国密证书链;如需取证,可在 PC 端登录同一账号后通过「云收藏」同步标签页,再用桌面端查看。
国密双证书场景:什么时候会同时出现两张?
360 的「国密透明切换」策略是:优先握手 SM2→失败 200 ms 内重试 RSA。若两端都成功,内存里会保留两张证书,但页面上只能呈现一条链路。只有用前述「强制证书查看器」才能看到双证书并存状态。
注意:部分早期政务网关只发 SM2 叶子证书而不发中间证书,导致“国密下拉框”里只有一张叶子,看似不完整;此时需用 Export 功能把链导出来,放到国密中间库(通常由 CA 提供)补齐验证。
回退与失败分支
现象 A:按 Shift 点击图标无反应
原因:页面仍在加载子资源,地址栏图标处于悬置状态。
处置:等左侧旋转菊花消失,或先 Esc 停止加载,再重试。
现象 B:Security 面板里看不到「Export SM2 chain」
原因:当前站点未协商出国密套件,或本地策略被管理员关闭。
验证:在地址栏输入 se://flags/#sm2-export,如显示 Disabled by administrator,则需联系 IT 放开组策略。
与第三方调试工具协同
Wireshark 4.2 已支持 TLS 1.3 国密套件编号 0x1302,但需手动加载 360 提供的「gmssl-keys.log」。步骤:在 360 浏览器地址栏执行 se://net-export/ → 勾选「Pre-master secret for GMSSL」→ 重启浏览器后会在「安装目录\User Data\gmssl-keys.log」输出密钥。随后把路径填到 Wireshark → Preferences → Protocols → TLS → (Pre)-Master Secret log filename,即可明文查看国密流量。经验性观察:对 8 MB 抓包文件解密耗时约数十秒,CPU 占用抬升 15% 左右,验证完毕记得关闭导出开关,避免密钥落盘合规风险。
适用 / 不适用场景清单
| 场景 | 是否推荐强制查看证书 | 理由 |
|---|---|---|
| 政务外网 SM2 直通 | ✅ 强烈推荐 | 需确认是否 fallback 到 RSA,满足等保测评 |
| 普通电商 HTTPS | ⚠️ 可选 | 证书链固定,查看意义不大;但可顺手验证 EV 证书真伪 |
| 开发本地 localhost | ❌ 不建议 | 自签证书链人为构造,查看器会报红,容易误导测试结论 |
| 内网 Windows 2003 老网关 | ❌ 不支持 | Chromium 132 已移除 3DES/1024 bit RSA,握手直接失败,看不到证书 |
性能与成本考量
打开证书查看器本身不触发额外握手,内存占用增加约 3–5 MB;若同时导出 SM2 链并做 CRL/OCSP 校验,会再发起 1–2 条 HTTP 请求,延迟增加约 100–200 ms。对需要批量检测的运维场景,建议写脚本调用 certutil.exe -dump 离线处理,而非人工逐个点开。
最佳实践 5 步法(检查表)
- 先确认浏览器版本为「截至当前的最新版本」,避免旧版无国密下拉框。
- 地址栏图标 + Shift 一键展开,优先看「国密是否激活」。
- 若下拉框置灰,立即用
se://flags/#sm2-export自检策略。 - 导出
.p7b后,用本地国密中间库补链,确认无缺失。 - 关闭导出开关,清理
gmssl-keys.log,防止密钥长期落盘。
FAQ(使用 FAQPage Schema)
为什么按住 Shift 还是看不到国密证书?
站点未协商出国密套件,或本地组策略被管理员禁用。验证:地址栏输入 se://flags/#sm2-export 如显示 Disabled by administrator,需联系 IT 放开。
移动端能否导出证书链?
Android 仅支持查看国际证书,无法导出;iOS 因系统 TLS 栈限制,看不到国密链。需回 PC 端操作。
导出后的 .p7b 如何验证完整性?
Windows 可用 certmgr.msc 导入后查看“证书路径」是否全绿;Linux 可用 openssl pkcs7 -in file.p7b -print_certs -text。
收尾:下一步行动
证书链看似细节,却是国密合规、钓鱼排查、性能调优的共同起点。把「地址栏图标+Shift」练成肌肉记忆,再配合同步导出按钮,你就能在 5 秒内判断站点到底走了哪条通道。下次遇到“网银提示环境异常”或“政务网加载慢”,先按本文步骤看证书,再决定是换链、补根还是降级,少走弯路。
📺 相关视频教程
正确卸载软件的方法这样卸载没有残留电脑知识 一分钟干货教学