Go的net/http客户端默认执行完整TLS证书验证,包括CA信任、域名匹配、有效期和吊销检查;自定义校验需配置Transport.TLSClientConfig,如跳过验证、验证指纹、添加私有CA根证书或手动解析证书链。
Go 的 net/http 客户端默认会执行完整的 TLS 证书验证:检查证书是否由可信 CA 签发、域名是否匹配、是否过期、是否被吊销(通过 OCSP/CRL,但默认不强制)。这意味着只要用 http.Get("https://example.com"),Go 就已帮你做了基础安全校验,无需额外代码。
若需调整验证行为(例如测试环境跳过验证,或增加自定义策略),需配置 http.Client 的 Transport.TLSClientConfig:
InsecureSkipVerify: true。⚠️ 生产环境禁用,否则失去 HTTPS 安全意义。VerifyPeerCertificate 回调,在其中解析 rawCerts,比对预期 SHA256 指纹或检查 Subject Alternative Name(SAN)字段。x509.CertPool,赋给 TLSClientConfig.RootCAs,即可信任内网签发的证书。有时需在请求后 inspect 证书信息,比如调试握手失败原因或审计证书链:
http.Response.TLS.PeerCertificates 获取服务器返回的证书链(索引 0 是叶证书)。cert.Verify(&x509.VerifyOptions{...}) 手动触发验证,可指定 DNS 名称、根池、时间等参数。cert.NotBefore/NotAfter 判断有效期,cert.DNSNames 和 cert.IPAddresses 验证访问目标是否在 SAN 中。实际使用中容易忽略的关键点:
InsecureSkipVerify 并提交到生产代码——建议用构建标签或环境变量控制,避免误发布。RootCAs,不要依赖默认池。ssl_certificate 包含完整链)。
“certificate has expired or is not yet valid” 错误——检查客户端系统时间是否准确。基本上就这些。Golang 的 TLS 校验设计清晰,默认够用,定制也灵活,关键是理解每一步在做什么,而不是盲目跳过。