導(dǎo)致SSL證書不被信任的原因有哪些

本篇文章給大家分享的是有關(guān)導(dǎo)致SSL證書不被信任的原因有哪些，小編覺得挺實用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

很多網(wǎng)站管理人員都會遇到這樣的困惑：自己的網(wǎng)站明明已經(jīng)安裝了SSL證書，為什么在客戶訪問的時候，瀏覽器仍然會發(fā)出告警提示呢？究其原因主要有以下五種情況。

1. 證書不是可信任的CA機構(gòu)頒發(fā)

對證書有了解的朋友應(yīng)該都明白，SSL證書可以分為自簽名證書和付費證書兩種，自簽名證書就是可以自己給自己頒發(fā)數(shù)字證書，同樣可以實現(xiàn)網(wǎng)站的HTTPS化，然而這種證書成本較低，不受瀏覽器信任，因此在客戶訪問的時候，系統(tǒng)會發(fā)出不信任的告警提示。

因此，為了保障網(wǎng)站的安全和用戶的訪問體驗，網(wǎng)站尤其是企業(yè)網(wǎng)站應(yīng)該購買可信任的政府頒發(fā)機構(gòu)所頒發(fā)的數(shù)字證書，這一點十分重要。目前全球比較知名的CA頒發(fā)機構(gòu)主要有賽門鐵克、CFCA、Geotrust、Globalsign等。

2. 數(shù)字證書信任鏈配置錯誤

我們常用的SSL證書，基本上很少是CA機構(gòu)頒發(fā)的根證書，大部分都是二級證書，如果不配置中級CA，操作系統(tǒng)就無法確定SSL證書的真正頒發(fā)者是誰。這個時候我們的證書和被受到信任的根證書就存在一個中間證書，這個叫中級證書頒發(fā)機構(gòu)CA。

如果我們只安裝了最終的域名證書，而沒有安裝中間證書導(dǎo)致證書鏈不完整，系統(tǒng)就無法回溯根證書的頒發(fā)機構(gòu)，就會被系統(tǒng)判定為不可信任。為了解決這個問題，我們需要在服務(wù)器端配置安裝SSL證書時，同樣要使得我們的證書鏈完整，才能正常使用。

3. 證書和域名不匹配

多數(shù)情況下我們的證書頒發(fā)機構(gòu)都會為我們的域名做完整的匹配，但有些時候某些證書頒發(fā)機構(gòu)可能會疏忽。當(dāng)我們?yōu)樽约旱挠蛎暾垟?shù)字證書的時候，我們的CSR當(dāng)中僅定義了這一個主域名，并未添加更多域名DNS記錄。那么當(dāng)你證書頒發(fā)的時候訪問這個域名就不會受到信任，會提示你該證書不是這個域名的。這個時候需要聯(lián)系證書頒發(fā)機構(gòu)或證書提供商進(jìn)行重新簽發(fā)并包含該域名。

4. 證書已經(jīng)過了有效期

SSL證書都是有有效期限的，如果證書已經(jīng)過期，在用戶訪問網(wǎng)站的時候，系統(tǒng)也會發(fā)出告警提示?？梢栽跒g覽器的Internet選項中點擊查看證書的有效期限，如果已經(jīng)過了有效期，需要及時向域名服務(wù)商聯(lián)系并進(jìn)行續(xù)費操作，以保證網(wǎng)站的正常運行和訪問。

5.客戶端不支持SNI協(xié)議

這種情況只會發(fā)生在客戶使用的操作系統(tǒng)是Windows XP SP2以下，Android4.2以下等較低的系統(tǒng)版本中。SNI協(xié)議就是讓多個支持SSL證書的域名共享同一個獨立IP地址的技術(shù)，現(xiàn)在已經(jīng)被幾乎所有主流操作系統(tǒng)和瀏覽器支持了。在很多年以前，SSL證書是需要綁定到獨立IP地址使用的，由于IPv4地址池逐漸不夠分配，SNI技術(shù)應(yīng)運而生了。

以上就是導(dǎo)致SSL證書不被信任的原因有哪些，小編相信有部分知識點可能是我們?nèi)粘９ぷ鲿姷交蛴玫降摹ＯＭ隳芡ㄟ^這篇文章學(xué)到更多知識。更多詳情敬請關(guān)注億速云行業(yè)資訊頻道。