对于ssl证书链检测，主要是两方面，一是ssl证书链中证书个体的检测，另外一个是ssl证书链整体的检测。对于前者，与之前服务器证书检测一样，主要也是检测是否过期、签名是否安全等，外加是否属于自签名证书（即自己给自己签发，也就是SubjectKeyId与AuthorityKeyId相同）。对于ssl证书链检测，主要集中哪几点呢？

分别集中在以下这几点：

一、ssl证书链长度检测。既然都称为链了，那长度最起码也得大于2吧。而最长长度也得要有一定的限制，毕竟没有哪个浏览器证书链包含十几份证书，具体上限是多少，小编我没有找到相关资料，可以自行设定，根据后续检测结果调整。

二、ssl证书链顺序检测。这里顺序检测主要是保证下级证书必须是由上级机构签发，即证书链中，下级证书的AuthorityKeyId要与上一级证书的SubjectKeyId相等。

三、ssl证书链根证书检测。这里要进行根证书的可信检测，主要是指证书链的根部证书必须包含在已知的可信根证书集中，这是保证后续签发证书可信的必要条件。

ssl证书链长度检测比较简单，编程获取的证书信息中都会包含证书链信息，一般以列表形式存在，只要检测其列表长度即可。

ssl证书顺序的检测需要从服务端证书开始，依次检测该证书的AuthorityKeyId是否与列表中下一证书的SubjectKeyId一致，保证下级证书由上级机构签发。

根ssl证书可信的检测，主要是检测证书链中根部证书是否可信。浏览器和操作系统中一般都会自带大量可信CA根证书，例如：

除此之外还有类似aosp.pem，apple.pem，microsoft.pem，java.pem，mozilla.pem等作为补充，总之，可以包含你所知道的所有可信根证书集合，越全越好，甚至可以把那些浏览器不信任但我们认为可信的根证书也包含在内，比如SRCA。对于可信CA根证书的检测，只需确定证书链中的根证书是否属于所提供的可信CA根证书集即可，具体到细节实现，就是判断ssl证书链根证书的SubjectKeyId是否包含在上述证书集组成的字典（key为SubjectKeyId，value可以为证书）中，当然其中需要一些细节处理。小编这里就不详细解说，如果你还有疑问，请咨询恒讯科技技术人员。