SSL證書？中科三方：5種倒致”SSL證書不被信任”的原因很多網(wǎng)站管理人員都會(huì)遇見這樣的困惑：自己的網(wǎng)站可是早安裝了SSL證書，為什么在客戶ftp連接的時(shí)候，瀏覽器仍然會(huì)嘶嘶告警提示呢？究其原因通常有

SSL證書？

中科三方：5種倒致”SSL證書不被信任”的原因

很多網(wǎng)站管理人員都會(huì)遇見這樣的困惑：自己的網(wǎng)站可是早安裝了SSL證書，為什么在客戶ftp連接的時(shí)候，瀏覽器仍然會(huì)嘶嘶告警提示呢？究其原因通常有以下五種情況。

1.證書又不是可絕對(duì)的信任的CA機(jī)構(gòu)頒發(fā)證書

對(duì)證書有清楚的朋友肯定都很清楚，SSL證書這個(gè)可以兩類自簽名證書和付費(fèi)證書兩種，自簽名證書那就是這個(gè)可以自己給自己統(tǒng)一頒發(fā)數(shù)字證書，同樣的也可以基于網(wǎng)站的HTTPS化，但這種證書成本較低，然而不受瀏覽器無(wú)條件的信任，并且在客戶訪問(wèn)網(wǎng)絡(luò)的時(shí)候，系統(tǒng)會(huì)才發(fā)出不絕對(duì)信任的告警提示。

因此，目的是安全有保證網(wǎng)站的安全和用戶的訪問(wèn)體驗(yàn)，網(wǎng)站尤其是企業(yè)網(wǎng)站應(yīng)該可以購(gòu)買可絕對(duì)信任的發(fā)證書機(jī)構(gòu)所頒發(fā)的數(shù)字證書，這點(diǎn)十分。目前全球都很知名的CA頒發(fā)機(jī)構(gòu)主要有賽門鐵克、CFCA、Geotrust、Globalsign等。

2.數(shù)字證書信任鏈配置錯(cuò)誤

我們具體方法的SSL證書，基本上很少是CA機(jī)構(gòu)統(tǒng)一頒發(fā)的根證書，大部分是二級(jí)證書，如果不配置中級(jí)CA，操作系統(tǒng)就難以判斷SSL證書的真正頒發(fā)者是誰(shuí)。這會(huì)兒我們的證書和被被絕對(duì)的信任的根證書就存在一個(gè)中間證書，這個(gè)叫一級(jí)證書頒發(fā)機(jī)構(gòu)CA。

如果我們只安裝了到最后的域名證書，而也沒安裝好中間證書可能導(dǎo)致證書鏈不發(fā)下，系統(tǒng)就無(wú)法回溯根證書的頒發(fā)機(jī)構(gòu)，變會(huì)被系統(tǒng)進(jìn)一步判斷為絕不可以信任。為了解決的辦法這個(gè)問(wèn)題，我們不需要在服務(wù)器端配置完全安裝SSL證書時(shí)，同樣的要使得我們的證書鏈發(fā)下，才能算正常建議使用。

3.證書和域名不看操作

多數(shù)情況下我們的證書頒發(fā)機(jī)構(gòu)都會(huì)為我們的域名做完整的看操作，但有些時(shí)候某些證書頒發(fā)機(jī)構(gòu)可能會(huì)會(huì)疏忽。當(dāng)我們?yōu)樽约旱挠蛎?例如申請(qǐng)數(shù)字證書的時(shí)候，我們的CSR當(dāng)中僅定義了這一個(gè)主域名，卻沒添加更多域名DNS記錄。那就當(dāng)你證書頒發(fā)的時(shí)候ftp連接就不會(huì)是被信任，會(huì)總是顯示你該證書也不是這個(gè)域名的。這會(huì)兒不需要聯(lián)系證書頒發(fā)機(jī)構(gòu)或證書可以提供商進(jìn)行新的核發(fā)并中有該域名。

4.證書早就過(guò)了有效期

SSL證書大都有效期限的，假如證書早快到期，在用戶ftp訪問(wèn)網(wǎng)站的時(shí)候，系統(tǒng)也會(huì)口中發(fā)出告警提示。也可以在瀏覽器的Internet選項(xiàng)中點(diǎn)擊查看證書的有效期限，要是已經(jīng)過(guò)了有效期，不需要一定要及時(shí)向域名服務(wù)商聯(lián)系并通過(guò)續(xù)費(fèi)操作，以只要網(wǎng)站的正常運(yùn)行和不能訪問(wèn)。

5.客戶端不允許SNI協(xié)議

那種情況只會(huì)發(fā)生了什么在客戶使用的操作系統(tǒng)是Windows XPSP2以下，Android4.2以下等比較低的系統(tǒng)版本中。SNI協(xié)議是讓多個(gè)支持SSL證書的域名共享捆定單獨(dú)的IP地址的技術(shù)，現(xiàn)在也被簡(jiǎn)直所有主流操作系統(tǒng)和瀏覽器支持了。在很多年以前，SSL證書是需要綁定到獨(dú)立IP地址可以使用的，而IPv4地址池的漸漸地太少分配，SNI技術(shù)因運(yùn)而生了。

聽說(shuō)天威誠(chéng)信可以申請(qǐng)免費(fèi)的SSL證書，我想問(wèn)下該如何申請(qǐng)呢？

這個(gè)我明白了，我的新的小程序之前那是再申請(qǐng)它家的免費(fèi)的SSL證書。你是可以去天威誠(chéng)信證書智能管理系統(tǒng)，就還能夠一鍵備份再申請(qǐng)能免費(fèi)SSL證書啦。不過(guò)我跟你說(shuō)，和其他平臺(tái)比起，它家工具包意見后續(xù)直接安裝工作，更很難你操作呢。