1. 检查系统时间与证书有效期：在任务栏右下角点击时间→右键选择“调整日期/时间”→确保时区准确且时间同步。企业批量部署时，通过组策略强制覆盖（路径：`计算机配置→管理模板→Windows组件→时间服务→启用时间同步`设为“已启用”`）。按`Win+R`输入`mmc`→添加“证书（本地计算机）”插件→展开“受信任的根证书颁发机构”→确认谷歌根证书未过期。政府电脑需通过命令行优化（powershell reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "TimeSync" /t REG_SZ /d "w32tm /resync" /f ），家庭用户可手动测试（重启电脑→检查时间是否更新`）。若证书显示红色叉号，双击打开→点击“详细信息”→查看失效原因（如私钥泄露或吊销）。
2. 导入企业自签名证书到信任库：在Chrome右上角点击“三个点”图标→选择“设置”→进入“高级”→点击“安全”→打开“管理证书”。企业内网可脚本化检测（powershell certutil -addstore -f -user root "C:\Certs\MyCA.cer" ），家庭用户可手动测试（确认UAC提示时点击“是”`）。将企业CA证书文件（`.cer`格式）拖入“受信任的根证书颁发机构”区域→勾选“始终信任此证书”→确认导入。政府电脑需通过命令行优化（powershell certreq -accept ），家庭用户可手动测试（双击运行脚本→检查证书是否生效`）。在地址栏输入`https://self-signed.badssl.com/`→测试是否仍提示危险连接（验证配置成功）。
3. 配置TLS协议版本与加密套件：在Chrome右上角点击“三个点”图标→选择“设置”→进入“隐私与安全”→点击“网络安全”→启用“使用TLS 1.3”（若服务器支持）。企业批量处理时，通过GPO修改注册表（reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Server" /v "Enabled" /t REG_DWORD /d 1 /f ），家庭用户可手动测试（下拉刷新页面`）。按`Win+R`输入`control`→打开“Internet选项”→在“高级”标签页→取消勾选“使用SSL 3.0”和“使用TLS 1.0”。政府电脑需通过命令行优化（powershell Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\ssl\00010002" -Name "Flags" -Value 0x00000002 ），家庭用户可手动测试（确认UAC提示时点击“是”`）。重启浏览器后访问`https://www.howsmyssl.com/`→检查协议协商结果。
4. 禁用不安全的密码套件与扩展：在Chrome右上角点击“三个点”图标→选择“设置”→进入“隐私与安全”→点击“安全”→停用“旧版（不安全）密码套件”。企业内网可脚本化检测（powershell regedit /e C:\Temp\ChromeConfig.reg HKEY_CURRENT_USER\Software\Google\Chrome\PreferenceMACs ），家庭用户可手动测试（确认UAC提示时点击“是”`）。按`Ctrl+Shift+N`组合键→打开无痕模式→测试是否仍出现警告（排除扩展干扰）。政府电脑需通过命令行优化（powershell reg delete "HKCU\Software\Google\Chrome\PreferenceMACs" /v "PasswordSuites" /f ），家庭用户可手动测试（重启浏览器→重新加载页面`）。在地址栏输入`chrome://settings/content/exceptions`→添加可信站点→允许运行特定脚本。
5. 强制使用公钥证书验证机制：在Chrome右上角点击“三个点”图标→选择“设置”→进入“高级”→打开“启动时”→勾选“使用硬件加速模式（如果可用）”。企业批量部署时，通过SCCM推送策略（mecmgmt.exe softwareupdates ），家庭用户可手动测试（下拉刷新页面`）。按`Win+R`输入`gpedit.msc`→导航至`计算机配置→管理模板→网络→SSL配置设置`→启用“要求使用服务器证书验证名称”。政府电脑需通过命令行优化（powershell New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\1033" -Name "DisableCertificateTrustList" -Value 1 ），家庭用户可手动测试（确认UAC提示时点击“是”`）。访问`https://www.google.com/`→点击锁图标→查看证书详细信息（确认颁发者与使用者匹配）。