我们的网站同时在 http(80) 和 https (443) 上运行。
我们购买并安装了 SSL 证书。它对于仅在 https 上运行的网站运行良好。
如果我们使用正确的证书访问运行 http 和 https 的网站,那么我们会收到 SSL 证书警告错误消息。
此错误的原因是什么?如何解决?
证书详情
通配符证书:*.example.com
该证书也适用于:example.com
foo.example.com没有警告错误
- 仅在 https 上运行
abc.example.com - 在 http 和 https 服务上运行。此图显示警告消息。
此错误出现在 Chrome 浏览器中。我在 Android 操作系统上对其进行了测试。
答案1
最有可能的是,您缺少中间证书,或者您要访问的 URL 与证书的通用名称不匹配。
答案2
TL;DR:您可能需要安装一些中间证书,以便 Android 可以验证站点证书是否有效(本质上是我原始答案中第 3 点的子情况)。
- Comodo 支持:Android 上不受信任的证书错误
- 证书在 PC 上受信任,但在 Android 上不受信任
- Comodo SSL 证书在 Android 设备上显示为无效
- Comodo 证书欺诈如何引发对 CA 信任的质疑
NET::ERR 证书颁发机构无效
在更高版本的 Android 中,该对话框上有一个标有“高级”的按钮。
这给你
服务器无法证明它是 www.redacted.ac.in,其安全证书不受您设备操作系统的信任。这可能是由于配置错误或攻击者拦截您的通信造成的。
因此
- 证书有问题(可能是不可信的 CA)
- 连接路径中有一个设备正在替代证书(有时组织基础设施中的透明代理会出现这种情况)
科摩多RSA
您的证书由 Commodo RSA 颁发
问题在于 Windows 服务器未提供完整的证书链;没有完整证书链的客户端将导致此错误,就像在 Android 手机上遇到的那样。为了解决此问题,请在安装此证书的服务器上打开 MMC(Microsoft 管理控制台),并在本地计算机上为计算机帐户添加证书管理单元。
在中级证书颁发机构文件夹中,验证 Comodo RSA 域验证安全服务器 CA 和 Comodo RSA 证书颁发机构(颁发给 Comodo RSA 证书颁发机构,由 AddTrustExternal CA Root 颁发)是否安装在此证书存储区中。
在“受信任的根证书颁发机构”文件夹中,验证是否安装了 AddTrustExternal CA Root。此外,如果您看到 Comodo RSA 证书颁发机构(由 Comodo RSA 证书颁发机构颁发,有效期为 2038 年 1 月 18 日)存在,请删除此证书。
如果缺少任何证书,则在颁发证书时,会将中间证书和根证书以 .zip 文件的形式提供给您,或者您可以通过此支持文章获取 -https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/979/108/domain-validation-sha-2。
如果您必须从“受信任的根证书颁发机构”文件夹中删除 Comodo RSA 证书颁发机构,则还需要禁用服务器上的自动根证书更新 -https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/769/17/turn-off-automatic-root-certificates-updates-server-2008
如果您已执行这些步骤,但服务器上的证书链尚未更新,则要强制 IIS 更新证书链,您需要将 IIS 中的证书绑定更改为另一个证书,然后将证书绑定切换到正确的证书。或者,您需要重新启动服务器。
混合内容
如果我们使用正确的证书访问运行 http 和 https 的网站,那么我们会收到 SSL 证书警告错误消息。
浏览器并不喜欢混合 HTTPS 和 HTTP 内容的网站。
例如,如果 HTML 由 HTTPS 提供,但某些图像、脚本或 CSS 由 HTTP 提供,则浏览器无法使用通常的绿色挂锁来告诉用户该网站是安全的。它存在部分漏洞。
看
其他常见证书错误
对于仅在 http 上运行的网站来说它运行良好。
不是。对于 HTTP,浏览器根本不会查看证书。
我们收到 SSL 证书警告错误消息。
确切的实际警告消息将告诉您证书出了什么问题。一些常见问题包括:
- 已过期。
- 它与网站属于不同的域名。
- 您的浏览器不信任证书颁发者(CA)。
解决方案分别是
- 更新它
- 获取正确域名的证书
- 从其他 CA 购买证书