网站使用SSL证书可以为网站数据进行加密、提高网站的安全性、因此大部分站长都会为自己的网站配置部署SSL证书。在使用SSL证书过程中出现SSL证书不受信任的情况,经常让站长摸不着头脑。下面就来为大家解答下关于SSL证书不被信任的5大常见原因。
一、证书域名匹配程度不足
多数情况下我们的证书颁发机构都会为我们的域名做完整的匹配,但有些时候某些证书颁发机构可能会疏忽。
二、证书来源非公认的证书颁发机构
众所周知,SSL证书是由正规办法机构颁发的数字证书才有效,如果是属于自给自足的数字证书,如SSL证书、邮件证书、客户端证书、代码证书等,不花一分钱但是不会受到客户端的操作系统信任。这样的情况会导致出现“SSL证书不被信任”。所以大家购买SSL证书之前就要合适清楚服务商提供的SSL证书是否是公认的正规机构颁发的。公认的证书颁发机构的CA证书就是默认内置在我们的操作系统或者浏览器当中的,也就是客户端操作系统默认信任的证书。常见的公认数字证书颁发机构是Startcom、Comodo、Geotrust、Globalsign等。
三、客户端不支持SNI协议
当用户使用的操作系统为Windows XP SP2以下、Android4.2以下的情况,由于这些操作系统太早了导致系统厂商没有提供SNI协议,所以无法使用。
SNI协议是一种让多个支持SSL证书的域名共享一个独立IP地址的技术。现在大部分主流操作系统、浏览器都支持。很早以前SSL证书是需要绑定独立IP协议使用,但是IPv4地址池慢慢的出现了分配不足的情况因此SNI技术就应势而生了。
四、使用的证书失效
证书过了有效期后,没有及时续费就可能会被吊销。因此大家租用SSL证书后,应该及时到IDC供应商那里续费。
五、数字证书的信任链配置发生故障
出于安全等因素考虑,大部分数字证书都不是颁发机构直接使用根证书直接签发客户端证书,如果真的存在由颁发机构使用根证书直接前方客户端证书那这种证书的价格也会非常高。
证书和倍受信任的根证书直接存在一个中间证书,被称为中级证书颁发机构CA。当操作系统内置中仅限制使用了根证书颁发机构,但是用户按照的是域名证书,就会导致证书链确实,标记成不受信任。想要避开这样的情况,需要在配置部署SSL证书的时候要保证证书链的完整性。