SSL证书链是由多个证书组成的信任链条，从服务器证书（叶子证书）开始，经过一个或多个中间CA证书，最终到达受信任的根CA证书。浏览器通过验证这条链来确认网站身份。如果链不完整，浏览器会显示安全警告，影响用户信任和SEO排名。完整的证书链确保所有主流浏览器和设备都能正确验证您的SSL证书。

服务器证书（叶子证书）：直接绑定到您的域名，由中间CA签发，是SSL握手中首先提供给客户端的证书。

中间CA证书：连接服务器证书和根证书的桥梁，由根CA或上级中间CA签发。大多数SSL配置需要至少一个中间证书。

根CA证书：信任链的顶端，通常预装在操作系统和浏览器中。根证书是自签名的，必须由公认的CA机构维护。

查看证书的notAfter（过期时间）字段。通常建议在证书过期前30天进行续期。Apple等主流平台已推行398天的证书有效期上限，超过此期限的证书将不被信任。使用本工具可以快速查看证书的剩余有效天数，若显示橙色或红色警告，说明证书即将过期或已过期，需要立即处理。

SAN（Subject Alternative Name，主题备用名称）是X.509证书扩展字段，允许一个证书保护多个域名。例如，一个证书可以同时覆盖 example.com、www.example.com 和 api.example.com。现代浏览器优先检查SAN中的域名匹配，而非传统的CN字段。多域名证书和通配符证书都依赖SAN来实现多域名保护。

证书透明度（Certificate Transparency, CT）是一个公开的日志系统，记录所有CA颁发的SSL证书。Chrome等浏览器要求证书必须出现在CT日志中才被信任。您可以通过 crt.sh 查询任意域名的CT记录，验证证书的颁发历史。本工具也提供了每张证书在crt.sh上的快速查询链接。

常见的密钥算法包括：
RSA（如RSA 2048、RSA 4096）：最广泛支持的经典算法，兼容性好，但密钥较大，计算开销高。
ECDSA（如EC P-256、P-384）：基于椭圆曲线密码学，密钥更小，性能更优，安全性相当。现代网站越来越多采用ECDSA。
建议使用RSA 2048位或EC P-256及以上的密钥强度。SHA-256是当前推荐的签名哈希算法，SHA-1已不再安全并被逐步淘汰。