我见过太多人因为99tk吃亏，原因几乎一样：域名、证书、签名先核对

最近碰到不少朋友因为在网站、下载或合同链路上掉进坑，损失从小额付款到账号被盗不等。问题的共同点通常不是复杂技术，而是三件事没先核对清楚：域名、证书、签名。下面把我多年帮人把关、写稿、处理纠纷的经验浓缩成一套可操作的检查清单和方法，照着做能大幅降低“被99tk”类问题的风险。

为什么很多人会上当？

先核对一：域名要核对的不是只有域名文字，还包括结构和历史。

看全域名（完整 URL）：注意子域名/路径混淆。例子：legit.com.99tk.com 与 99tk.com/legit 写法长得像但完全不同。
检查拼写变体和同形字（IDN homograph）：带有“xn--”或看起来正常但用的是不同字符的域名都可能是钓鱼域。浏览器的 punycode 显示有助识别。
查询 WHOIS/备案：新注册、隐私保护或频繁更换注册信息的域名需谨慎。可用 whois、ICANN Lookup、国内ICP备案等工具查看。
历史记录：通过 Wayback Machine 或 DNS 历史服务查看这个域名过去是否被用作恶意用途或频繁改版。对域名的第一印象可以骗过人，技术细节能揭示真相。

先核对二：证书（TLS/SSL）浏览器里的“锁”并不等于绝对安全，核对证书能发现很多伪装。

点击锁图标查看证书详情：确认颁发给的域名、有效期、颁发机构（CA）和值得信赖的链路。
查看证书的主题名（CN/SAN）是否包含你访问的实际域名；若不匹配，说明证书被错误配置或是伪装。
注意证书是否自签（self-signed）或由可疑 CA 颁发。大型、可信的网站通常由知名 CA 签发。
检查证书指纹（SHA256）并与官方渠道公布的指纹比对（若有）。
用外部检测工具做更深层检测：SSL Labs（Qualys）、openssl s_client、sslyze 等可以查看协议支持、链路完整性与弱点。简单一句话概括：证书能证明服务器身份，但需要你主动打开证书信息而非只看“锁”。

先核对三：签名（文件或消息的数字签名）下载软件、接收可执行文件或合同、确认密钥时，数字签名是最可靠的验证方式。

软件与安装包：优先从官方渠道或经签名的包管理器获取。下载后对比官方提供的校验和（SHA256/SHA512）和签名文件（.asc/.sig），用 GPG 或对应签名工具验证。
可执行文件/驱动：Windows 的 Authenticode、macOS 的代码签名都可以在属性里查看发布者信息及签名是否被篡改。
邮件与文本：对方若提供 PGP/GPG 签名，使用对应公钥验证并核对公钥指纹与可信来源（官网、社交账号、密钥服务器）的一致性。
签名链可信度：确认签名使用的公钥来自可信来源，不轻信随同文件一起提供的“公钥下载链接”。许多因“看起来像官方”的下载而中招的事件，都是因为没有核对签名与校验和。

付款与交易前的快速核对清单（出门前的三分钟习惯）

如果已经怀疑被坑，能做的步骤