经常碰到浏览器或者手机上弹出“SSL证书不可信”,这种提示直接的后果就是让网站的访客不再信任网站,或者会选择暂时离开网站,以确保自己的信息、财产的安全。
那么,SSL证书不可信到底是什么意思,在什么情况下会产生这种警告信息呢?
1、网站没有申请全球可信的SSL证书
什么是全球可信的SSL证书?如果网站所部署的SSL证书是在环度网信这种专门受理具有公信力的CA机构签发的证书,这样的SSL证书,浏览器就会信任认可。打个通俗的比方,可信的SSL证书就类似于您持有的由公安机关签发的身份证,这种身份证无论您是去开房、购买火车票、去银行办理业务等,酒店、售票站、银行都会认可这种证件。
扩展阅读:全球可信的SSL证书选购
点击图片进入 SSL证书价格表页面
2、网站使用的是自签发的SSL证书
我们知道,技术人员可以通过自己搭建一个CA系统,自己给自己签发SSL证书,这种证书就类似于自己在电线杆上找的那种“专业办证”签发的证书,如果拿着这种证件去银行、酒店、买票等,后果可想而知,立马会被告知您正在使用假证件。
3、网站使用了兼容性不好的SSL证书
很多免费证书由于根证书并不在一些浏览器的信任库里面,所以现在很多免费证书并不被所有浏览器认可。
4、证书已经不在有效期内
我们知道身份证都有有效期的起始时间,SSL证书也是,而且,SSL证书在有效期的控制上更为严格,目前SSL证书的有效期最长时间为 27 个月,所以当您网站部署的SSL证书已经过期的时候,浏览器也会提示网站“SSL证书不可信”。
5、网站引用了错误的SSL证书
还是用身份证打比方,张三用李四的身份证去开房,结果都是一样的,立马会被识别出来,所以SSL证书也一样,如果网站A用的是网站B的证书,那么浏览器也会提醒“SSL证书不可信”。
我们接触了很久的数字证书,基本很少有颁发机构会使用他们的根证书直接签发客户端证书(End User Certificate), 这可能是出于安全考虑,当然也不排除部分证书颁发机构支持这样做(但是价格很惊人)。
6、SSL证书链不完整
SSL证书一般包含服务器证书、中级证书、根证书,有的还需要交叉证书。很多情况下下,如果操作系统默认只内置了颁发机构的根证书,而您直接安装的是自己的域名服务器证书,这个时候证书链就不完整,操作系统就无法确定SSL证书的真正颁发者是谁。所以,我们需要在服务器配置安装SSL证书的时候要检查证书链的完整性,这样才能确保SSL证书正常使用。
扩展阅读:SSL证书链下载
7、客户端不支持SNI协议
不得不说,现在依然存在一些微量的 Windows XP SP2 以下,Android4.2 以下的老旧系统,因为这些操作系统实在是太早了,当时系统厂商并未有支持这个SNI协议。SNI协议就是让多个支持SSL证书的域名共享同一个独立IP地址的技术,现在已经被几乎所有主流操作系统和浏览器支持了。在很多年以前,SSL证书是需要绑定到独立 IP 地址使用的,由于 IPv4 地址池的逐渐不够分配,SNI 技术应运而生了。
标签:浏览器,证书,网站,签发,信是,SNI,SSL 来源: https://blog.csdn.net/qq_43422918/article/details/113770005
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。