中科三方:5種導致“SSL證書不被信任”的原因

youbingke發表於2021-05-07

很多網站管理人員都會遇到這樣的困惑:自己的網站明明已經安裝了SSL證書,為什麼在客戶訪問的時候,瀏覽器仍然會發出告警提示呢?究其原因主要有以下五種情況。

1. 證書不是可信任的CA機構頒發

對證書有了解的朋友應該都明白,SSL證書可以分為自簽名證書和付費證書兩種,自簽名證書就是可以自己給自己頒發數字證書,同樣可以實現網站的HTTPS化,然而這種證書成本較低,不受瀏覽器信任,因此在客戶訪問的時候,系統會發出不信任的告警提示。

因此,為了保障網站的安全和使用者的訪問體驗,網站尤其是企業網站應該購買可信任的政府頒發機構所頒發的數字證書,這一點十分重要。目前全球比較知名的CA頒發機構主要有賽門鐵克、CFCA、Geotrust、Globalsign等。

2. 數字證書信任鏈配置錯誤

我們常用的SSL證書,基本上很少是CA機構頒發的根證書,大部分都是二級證書,如果不配置中級CA,作業系統就無法確定SSL證書的真正頒發者是誰。這個時候我們的證書和被受到信任的根證書就存在一箇中間證書,這個叫中級證書頒發機構CA。

如果我們只安裝了最終的域名證書,而沒有安裝中間證書導致證書鏈不完整,系統就無法回溯根證書的頒發機構,就會被系統判定為不可信任。為了解決這個問題,我們需要在伺服器端配置安裝SSL證書時,同樣要使得我們的證書鏈完整,才能正常使用。

3. 證書和域名不匹配

多數情況下我們的證書頒發機構都會為我們的域名做完整的匹配,但有些時候某些證書頒發機構可能會疏忽。當我們為自己的域名比如 sfn.cn申請數字證書的時候,我們的CSR當中僅定義了sfn.cn這一個主域名,並未新增更多域名DNS記錄。那麼當你證書頒發的時候訪問 就不會受到信任,會提示你該證書不是這個域名的。這個時候需要聯絡證書頒發機構或證書提供商進行重新簽發幷包含該域名。

4. 證書已經過了有效期

SSL證書都是有有效期限的,如果證書已經過期,在使用者訪問網站的時候,系統也會發出告警提示。可以在瀏覽器的Internet選項中點選檢視證書的有效期限,如果已經過了有效期,需要及時向域名服務商聯絡並進行續費操作,以保證網站的正常執行和訪問。

5.客戶端不支援SNI協議

這種情況只會發生在客戶使用的作業系統是Windows XP SP2以下,Android4.2以下等較低的系統版本中。SNI協議就是讓多個支援SSL證書的域名共享同一個獨立IP地址的技術,現在已經被幾乎所有主流作業系統和瀏覽器支援了。在很多年以前,SSL證書是需要繫結到獨立IP地址使用的,由於IPv4地址池逐漸不夠分配,SNI技術應運而生了。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69996004/viewspace-2771156/,如需轉載,請註明出處,否則將追究法律責任。

相關文章