中科三方：5種導(dǎo)致”SSL證書不被信任”的原因

很多網(wǎng)站管理人員都會遇到這樣的困惑：自己的網(wǎng)站明明已經(jīng)安裝了SSL證書，為什么在客戶訪問的時候，瀏覽器仍然會發(fā)出告警提示呢？究其原因主要有以下五種情況。

1. 證書不是可信任的CA機(jī)構(gòu)頒發(fā)

對證書有了解的朋友應(yīng)該都明白，SSL證書可以分為自簽名證書和付費(fèi)證書兩種，自簽名證書就是可以自己給自己頒發(fā)數(shù)字證書，同樣可以實(shí)現(xiàn)網(wǎng)站的HTTPS化，然而這種證書成本較低，然而不受瀏覽器信任，因此在客戶訪問的時候，系統(tǒng)會發(fā)出不信任的告警提示。

因此，為了保障網(wǎng)站的安全和用戶的訪問體驗(yàn)，網(wǎng)站尤其是企業(yè)網(wǎng)站應(yīng)該購買可信任的政府頒發(fā)機(jī)構(gòu)所頒發(fā)的數(shù)字證書，這一點(diǎn)十分重要。目前全球比較知名的CA頒發(fā)機(jī)構(gòu)主要有賽門鐵克、CFCA、Geotrust、Globalsign等。

2. 數(shù)字證書信任鏈配置錯誤

我們常用的SSL證書，基本上很少是CA機(jī)構(gòu)頒發(fā)的根證書，大部分都是二級證書，如果不配置中級CA，操作系統(tǒng)就無法確定SSL證書的真正頒發(fā)者是誰。這個時候我們的證書和被受到信任的根證書就存在一個中間證書，這個叫中級證書頒發(fā)機(jī)構(gòu)CA。

如果我們只安裝了最終的域名證書，而沒有安裝中間證書導(dǎo)致證書鏈不完整，系統(tǒng)就無法回溯根證書的頒發(fā)機(jī)構(gòu)，就會被系統(tǒng)判定為不可信任。為了解決這個問題，我們需要在服務(wù)器端配置安裝SSL證書時，同樣要使得我們的證書鏈完整，才能正常使用。

3. 證書和域名不匹配

多數(shù)情況下我們的證書頒發(fā)機(jī)構(gòu)都會為我們的域名做完整的匹配，但有些時候某些證書頒發(fā)機(jī)構(gòu)可能會疏忽。當(dāng)我們?yōu)樽约旱挠蛎热鐂fn.cn申請數(shù)字證書的時候，我們的CSR當(dāng)中僅定義了sfn.cn這一個主域名，并未添加更多域名DNS記錄。那么當(dāng)你證書頒發(fā)的時候訪問www.sfn.cn就不會受到信任，會提示你該證書不是這個域名的。這個時候需要聯(lián)系證書頒發(fā)機(jī)構(gòu)或證書提供商進(jìn)行重新簽發(fā)并包含該域名。

4. 證書已經(jīng)過了有效期

SSL證書都是有效期限的，如果證書已經(jīng)過期，在用戶訪問網(wǎng)站的時候，系統(tǒng)也會發(fā)出告警提示?？梢栽跒g覽器的Internet選項(xiàng)中點(diǎn)擊查看證書的有效期限，如果已經(jīng)過了有效期，需要及時向域名服務(wù)商聯(lián)系并進(jìn)行續(xù)費(fèi)操作，以保證網(wǎng)站的正常運(yùn)行和訪問。

5.客戶端不支持SNI協(xié)議

這種情況只會發(fā)生在客戶使用的操作系統(tǒng)是Windows XP SP2以下，Android4.2以下等較低的系統(tǒng)版本中。SNI協(xié)議就是讓多個支持SSL證書的域名共享同一個獨(dú)立IP地址的技術(shù)，現(xiàn)在已經(jīng)被幾乎所有主流操作系統(tǒng)和瀏覽器支持了。在很多年以前，SSL證書是需要綁定到獨(dú)立IP地址使用的，由于IPv4地址池的逐漸不夠分配，SNI技術(shù)應(yīng)運(yùn)而生了。

一、什么是SSL證書SSL英文全稱是Secure Sockets Layer，中文譯為“安全套接字協(xié)議”，是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。SSL證書是數(shù)字證書的一種，它是遵守SSL安全套接層協(xié)議的服務(wù)器證書，網(wǎng)站安裝部署SSL證書，可實(shí)現(xiàn)網(wǎng)站身份驗(yàn)證和數(shù)據(jù)加密傳輸?shù)墓δ堋?/p>

在安信SSL證書申請購買證書產(chǎn)品，類型多樣，https證書價格實(shí)惠。

二、SSL證書的類型1、SSL證書按照驗(yàn)證方式劃分：

DV SSL證書：指只驗(yàn)證網(wǎng)站域名所有權(quán)的簡易型SSL證書，此類證書僅能起到網(wǎng)站機(jī)密信息加密的作用，無法向用戶證明網(wǎng)站的真實(shí)身份。

OV SSL證書是Organization Validation SSL的縮寫，指需要驗(yàn)證網(wǎng)站所有單位的真實(shí)身份的標(biāo)準(zhǔn)型SSL證書，不僅能起到網(wǎng)站機(jī)密信息加密的作用，而且能向用戶證明網(wǎng)站的真實(shí)身份。

EV SSL是Extended Validation SSL的縮寫，指遵循全球統(tǒng)一的嚴(yán)格身份驗(yàn)證標(biāo)準(zhǔn)頒發(fā)的SSL證書，是目前業(yè)界最高安全級別的SSL證書。

2、SSL證書按照域名保護(hù)數(shù)量劃分：

單域名證書：單域SSL證書或標(biāo)準(zhǔn)SSL證書是入門級證書，與其他類型的證書相比，其驗(yàn)證過程更快。單域SSL通過檢查WHOIS 記錄來驗(yàn)證 SSL 請求者的域所有權(quán)。

多域名證書：又名 SAN/UCC SSL 證書，是針對不同級別的多個域和子域的安全盾牌。單個證書提供加密，為服務(wù)器和瀏覽器之間的數(shù)據(jù)傳輸創(chuàng)建安全隧道。

通配符證書：又叫泛域名SSL證書，可保護(hù)一個域名以及該域名所有下一級域名，不限制下級域名數(shù)量，后續(xù)添加新的子域無須重新審核和另外付費(fèi)。

三、SSL證書的作用1、網(wǎng)站實(shí)現(xiàn)加密傳輸，加強(qiáng)隱私安全保護(hù)

2、認(rèn)證服務(wù)器真實(shí)身份，防止釣魚網(wǎng)站仿冒

3、有利于提高網(wǎng)站搜索排名及收錄

4、提高公司品牌形象和可信度