哪些因素会导致SSL证书不被信任?(转载)

楼主:karoll2015 时间:2020-03-18 17:26:37 点击:270 回复:0
脱水 打赏 看楼主 设置

字体:

边距:

背景:

还原:

  可能在大家眼里,SSL证书申请好了安装好了就能正常使用了吧。其实不然,有很多原因会导致SSL证书不被信任,这样它就发挥不到任何保护的作用。在这里把导致SSL证书不被信任的原因都一一列举出来,希望大家都能避免。

  1、颁发SSL证书的机构不正规

  现在市面上颁发SSL证书的机构(CA)有很多,如果大家不小心选择了不正规的CA机构,那么SSL证书肯定是不被信任的,特别是自签名SSL证书(自己给自己颁发的证书),虽然不要钱,颁也方便,但是不受任何浏览器信任的,网站安装了这类的证书,访客在访问的时候就会提示SSL证书不被信任。所以大家一定要选择正规的CA机构,推荐Symantec、Comodo、GlobalSign。

  2、SSL证书的信任链配置错误

  我们接触了很久的数字证书,基本很少有颁发机构会使用他们的根证书直接签发客户端证书(End User Certificate), 这可能是出于安全考虑,当然也不排除部分证书颁发机构支持这样做。他们都选择用自己的二级证书进行颁发客户端证书,比如你购买的EV SSL绿色地址栏证书,签发的证书链大概就如下图:

  |—DigiCert

  |—WoTrus EV SSL Pro CA (中级CA)

  |—www.wosign.com

  如果不配置中级CA,操作系统就无法确定SSL证书的真正颁发者是谁。

  这个时候我们的证书和被受到信任的根证书就存在一个中间证书,这个叫中级证书颁发机构CA。如果操作系统默认只内置了根证书颁发机构,而我们直接安装的是自己的域名证书。这个时候证书链就不完整,就会被标记为受信任。为了解决这个问题,我们需要在服务器配置安装SSL证书的时候也同样要使得我们的证书链完整,才能正常使用。

  3、SSL证书已过期

  关于SSL证书的有效期,是很容易被大家忽视的,正规的CA机构颁发的SSL证书有效期都是不超过2年,因此大家一定要时刻注意一下SSL证书是否在有效期内。如果在有效期外,也会出现SSL证书不被信任。

  4、SSL证书的域名匹配不完整

  申请SSL证书的步骤比较多,过程有点复杂,因此很多人第一次申请的时候难免会出些差错,比如填写CSR的时候定义了wosign.com这个顶级域名,但是并没有定义www.wosign.com这个二级域名,这个时候就会提示,证书非该域名信任证书。

  好了,导致SSL证书不被信任的因素差不多就这些,大家平常要多留个心眼,细心一点就可以了, 不是难事。

  文章来源:https://freessl.wosign.com/

打赏

0 点赞

主帖获得的天涯分:0
举报 | 楼主 | 埋红包
楼主发言:1次 发图:0张 | 添加到话题 |
发表回复

请遵守天涯社区公约言论规则,不得违反国家法律法规