導(dǎo)致"SSL證書不被信任"的五大原因

總結(jié)常見的5中導(dǎo)致SSL證書不信任的原因如下：

1.SSL證書不是來自公認(rèn)的證書頒發(fā)機構(gòu)(CA)

我們但凡了解過SSL證書的朋友都明白，我們自己就可以給自己頒發(fā)數(shù)字證書(SSL證書、郵件證書、客戶端證書、代碼證書等)，自己簽發(fā)的證書不需要一分錢。然而自簽發(fā)的數(shù)字證書默認(rèn)是不受到客戶端操作系統(tǒng)信任的，所以他們訪問我們的站點的時候就會提示不信任。

另一方面，公認(rèn)的證書頒發(fā)機構(gòu)的CA證書就是默認(rèn)內(nèi)置在我們的操作系統(tǒng)或者瀏覽器當(dāng)中的，也就是客戶端操作系統(tǒng)默認(rèn)信任的證書。

所以，我們首先需要購買可信的證書頒發(fā)機構(gòu)頒發(fā)的數(shù)字證書，這一點很重要。常見的公認(rèn)數(shù)字證書頒發(fā)機構(gòu)有Startcom、Comodo、Geotrust、Globalsign等。

2.數(shù)字證書信任鏈配置錯誤

我們接觸了很久的數(shù)字證書，基本很少有頒發(fā)機構(gòu)會使用他們的根證書直接簽發(fā)客戶端證書(End User Certificate), 這可能是出于安全考慮，當(dāng)然也不排除部分證書頒發(fā)機構(gòu)支持這樣做(但是價格很驚人)。

如果不配置中級CA，操作系統(tǒng)就無法確定SSL證書的真正頒發(fā)者是誰。

這個時候我們的證書和被受到信任的根證書就存在一個中間證書,這個叫中級證書頒發(fā)機構(gòu)CA。如果操作系統(tǒng)默認(rèn)只內(nèi)置了根證書頒發(fā)機構(gòu)，而我們直接安裝的是自己的域名證書。這個時候證書鏈就不完整，就會被標(biāo)記為受信任。為了解決這個問題，我們需要在服務(wù)器配置安裝SSL證書的時候也同樣要使得我們的證書鏈完整，才能正常使用。相關(guān)的各個平臺的證書鏈配置我們也會在后面的文章給大家專門碼字說明。

3.證書的域名匹配程度不完整

多數(shù)情況下我們的證書頒發(fā)機構(gòu)都會為我們的域名做完整的匹配，但有些時候某些證書頒發(fā)機構(gòu)可能會疏忽，我就遇見過。

4.證書已經(jīng)過了有效期

如果你的證書不是新買的，你應(yīng)該注意你的數(shù)字證書已經(jīng)過了有效期或這靠近有效期截止日期，你應(yīng)該聯(lián)系提供商進(jìn)行續(xù)費。另外如果你的證書來自某些不正常的渠道，你也應(yīng)該要確定一下你的證書是否已經(jīng)被吊銷，任何情況你都應(yīng)該立即聯(lián)系你的證書服務(wù)提供商。

5.客戶端不支持SNI協(xié)議

這種事情只會發(fā)生在客戶使用的操作系統(tǒng)是Windows XP SP2以下，Android4.2以下的情況，因為這些操作系統(tǒng)實在是太早了。當(dāng)時系統(tǒng)廠商并未有支持這個SNI協(xié)議。

SNI協(xié)議就是讓多個支持SSL證書的域名共享同一個獨立IP地址的技術(shù)，現(xiàn)在已經(jīng)被幾乎所有主流操作系統(tǒng)和瀏覽器支持了。在很多年以前，SSL證書是需要綁定到獨立IP地址使用的，由于IPv4地址池的逐漸不夠分配，SNI技術(shù)應(yīng)運而生了。

本文標(biāo)題：導(dǎo)致"SSL證書不被信任"的五大原因
標(biāo)題鏈接：http://www.muchs.cn/news/257991.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供標(biāo)簽優(yōu)化、小程序開發(fā)、靜態(tài)網(wǎng)站、搜索引擎優(yōu)化、動態(tài)網(wǎng)站、云服務(wù)器

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)