我们在访问网站时,常常会在浏览器或手机上弹出“SSL证书不可信”,这样很容易导致访问者不再信任网站,或者选择暂时离开网站,以确保他们的信息、财产安全。那么导致SSL证书不可信的原因有哪些呢?
1.网站不能申请范围内可信的SSL证书
可信SSL证书是什么?若网站部署的SSL证书是在国科云这一专门接受可信 CA 机构颁发的证书,则浏览器将信任该SSL证书。举一个简单的例子,可信的SSL证书就像你所持的身份证,是由公安机关直接签发,不管你去开房,买火车票,到银行办理业务等,这些证件都会被酒店、售票点、银行认可。
2. 网站使用自签发SSL证书
很多公司为了节省成本都会采用自签名的证书,自签名的证书是自家建立一套 CA 系统,自己签发SSL证书,这样成本就会低很多,签发成本也会更长,然而这样的证书是不被浏览器所认可的。
3.网站使用的是兼容性差的SSL证书
许多免费证书由于根证书不在某些浏览器的信任库中,所以没有得到所有浏览器的认可,因此也会因为兼容性问题导致证书不信任情况的发生。
4.证书的有效期已过,不再有效
SSL证书与其他证件一样都是有有效期限的,而且SSL证书在有效期控制方面更加严格,目前SSL证书的有效期长最长只有一年,因此,当网站部署的SSL证书过期时,浏览器将提示网站“SSL证书不受信任”。
5. 站点引用了错误的SSL证书
证书签发都是针对对应IP或者域名签发的,如果站点使用了错误的SSL证书,比如网站A错误使用了网站B的证书,就会出现证书不可信的情况。
6.SSL证书的证书链不完整
通常,SSL证书包含服务器证书、中级证书、根证书,有些需要交叉证书。许多时候,如果操作系统默认只内置权威的根证书,而你直接安装了你自己的域名服务器证书,那么证书链就不完整了,操作系统无法确定谁是真正的SSL证书的发出者。因此,当服务器配置安装SSL证书时,我们需要检查证书链的完整性,以确保SSL证书能够正常使用。
7.客户端对 SNI 协议不受支持
必须指出的是,现在还存在一些 Windows XP SP2 以下和 Android4.2 以下的老式系统,因为它们太早了,而当时没有任何系统供应商支持 SNI 协议。目前几乎所有主流操作系统和浏览器都支持 SNI 协议,SNI 协议是一种技术,它允许多个支持SSL证书的域名共享相同的 IP 地址。多年前,SSL证书需要绑定到单独的 IP 地址使用,而随着 IPv4 地址池的不足,SNI 技术也随之产生。
对于“SSL证书不可信”还有其他一些原因,如果您遇到了这样的问题,可以随时联系中科三方在线客服,帮您及时解决。
相关推荐: