總結常見的5中導致SSL證書不信任的原因如下：

1.SSL證書不是來自公認的證書頒發(fā)機構(CA)

我們但凡了解過SSL證書的朋友都明白，我們自己就可以給自己頒發(fā)數(shù)字證書(SSL證書、郵件證書、客戶端證書、代碼證書等)，自己簽發(fā)的證書不需要一分錢。然而自簽發(fā)的數(shù)字證書默認是不受到客戶端操作系統(tǒng)信任的，所以他們訪問我們的站點的時候就會提示不信任。

另一方面，公認的證書頒發(fā)機構的CA證書就是默認內置在我們的操作系統(tǒng)或者瀏覽器當中的，也就是客戶端操作系統(tǒng)默認信任的證書。

所以，我們首先需要購買可信的證書頒發(fā)機構頒發(fā)的數(shù)字證書，這一點很重要。常見的公認數(shù)字證書頒發(fā)機構有Startcom、Comodo、Geotrust、Globalsign等。

2.數(shù)字證書信任鏈配置錯誤

我們接觸了很久的數(shù)字證書，基本很少有頒發(fā)機構會使用他們的根證書直接簽發(fā)客戶端證書(End User Certificate), 這可能是出于安全考慮，當然也不排除部分證書頒發(fā)機構支持這樣做(但是價格很驚人)。

如果不配置中級CA，操作系統(tǒng)就無法確定SSL證書的真正頒發(fā)者是誰。

這個時候我們的證書和被受到信任的根證書就存在一個中間證書,這個叫中級證書頒發(fā)機構CA。如果操作系統(tǒng)默認只內置了根證書頒發(fā)機構，而我們直接安裝的是自己的域名證書。這個時候證書鏈就不完整，就會被標記為受信任。為了解決這個問題，我們需要在服務器配置安裝SSL證書的時候也同樣要使得我們的證書鏈完整，才能正常使用。相關的各個平臺的證書鏈配置我們也會在后面的文章給大家專門碼字說明。

3.證書的域名匹配程度不完整

多數(shù)情況下我們的證書頒發(fā)機構都會為我們的域名做完整的匹配，但有些時候某些證書頒發(fā)機構可能會疏忽，我就遇見過。

4.證書已經過了有效期

如果你的證書不是新買的，你應該注意你的數(shù)字證書已經過了有效期或這靠近有效期截止日期，你應該聯(lián)系提供商進行續(xù)費。另外如果你的證書來自某些不正常的渠道，你也應該要確定一下你的證書是否已經被吊銷，任何情況你都應該立即聯(lián)系你的證書服務提供商。

5.客戶端不支持SNI協(xié)議

這種事情只會發(fā)生在客戶使用的操作系統(tǒng)是Windows XP SP2以下，Android4.2以下的情況，因為這些操作系統(tǒng)實在是太早了。當時系統(tǒng)廠商并未有支持這個SNI協(xié)議。

SNI協(xié)議就是讓多個支持SSL證書的域名共享同一個獨立IP地址的技術，現(xiàn)在已經被幾乎所有主流操作系統(tǒng)和瀏覽器支持了。在很多年以前，SSL證書是需要綁定到獨立IP地址使用的，由于IPv4地址池的逐漸不夠分配，SNI技術應運而生了。

網(wǎng)頁名稱：導致"SSL證書不被信任"的五大原因
本文地址：http://jinyejixie.com/news41/257991.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供關鍵詞優(yōu)化、手機網(wǎng)站建設、網(wǎng)站內鏈、網(wǎng)站設計公司、全網(wǎng)營銷推廣、網(wǎng)站營銷

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)