相信很多人遇到过这样一个问题:部署SSL证书,依旧提示“您的连接不是私密连接/不安全”,今天在这里你会找到答案。几个月前我也遇到了同样的问题,其中 obaby 反馈多次,当时我彻查了源代码的角角落落,没有任何发现。直到有一天我换了R3证书,问题基本上没有出现过了(记住这里,神奇之处)。后来呢,又接到 obaby 反馈RSS无法正常订阅的问题,我陷入了深思,检查RSS发现:Error when fetching content over HTTPs: "HTTPs server has incorrect certificate configuration" 大致意思是:通过HTTPs获取内容时出错:“HTTPs服务器的证书配置不正确”。我第一反应重新申请SSL证书,结果很遗憾问题依旧存在...
这不得不让我怀疑证书,但话又说回来这么大平台不可能存在证书问题。于是为了一探究竟,申请了各大平台证书(不可能同一时间各大平台都有问题!我坚信这一点)得出结论:证书没有问题!可能证书链有问题!
好了言归正传,首先浏览器有证书自动下载功能,但很多浏览器安装后使用的是系统内置证书库,如果缺失CA证书,系统内置证书库中也不存在,那么访问时会提示:
这就是问题所在!缺失的CA证书不在内置证书库中,那么访问网站就会一直显示域名不可信。
解决办法其实很简单,部署证书时把缺失的CA证书一起部署就可以了。一般证书签发时会把CA证书一起打包,如果缺失CA证书,可以用MySSL
补全证书链。证书补全传送门
然后用新证书链覆盖原有SSL证书,到这里所有的问题迎刃而解。最后用MySSL检测SSL/TLS服务是否符合行业最佳实践,PCI DSS支付卡行业安全标准,Apple ATS规范。打完收工
最后MySSL
检测报告中也有证书链:
评论 32