NET::ERR 证书颁发机构无效

NET::ERR 证书颁发机构无效

我们的网站同时在 http(80) 和 https (443) 上运行。

我们购买并安装了 SSL 证书。它对于仅在 https 上运行的网站运行良好。

如果我们使用正确的证书访问运行 http 和 https 的网站,那么我们会收到 SSL 证书警告错误消息。

此错误的原因是什么?如何解决?

证书详情

通配符证书:*.example.com
该证书也适用于:example.com

foo.example.com没有警告错误
- 仅在 https 上运行
abc.example.com - 在 http 和 https 服务上运行。此图显示警告消息。

此错误出现在 Chrome 浏览器中。我在 Android 操作系统上对其进行了测试。

答案1

最有可能的是,您缺少中间证书,或者您要访问的 URL 与证书的通用名称不匹配。

答案2

TL;DR:您可能需要安装一些中间证书,以便 Android 可以验证站点证书是否有效(本质上是我原始答案中第 3 点的子情况)。


NET::ERR 证书颁发机构无效

在更高版本的 Android 中,该对话框上有一个标有“高级”的按钮。

这给你

服务器无法证明它是 www.redacted.ac.in,其安全证书不受您设备操作系统的信任。这可能是由于配置错误或攻击者拦截您的通信造成的。

因此

  • 证书有问题(可能是不可信的 CA)
  • 连接路径中有一个设备正在替代证书(有时组织基础设施中的透明代理会出现这种情况)

科摩多RSA

您的证书由 Commodo RSA 颁发

Commodo 支持

问题在于 Windows 服务器未提供完整的证书链;没有完整证书链的客户端将导致此错误,就像在 Android 手机上遇到的那样。为了解决此问题,请在安装此证书的服务器上打开 MMC(Microsoft 管理控制台),并在本地计算机上为计算机帐户添加证书管理单元。

在中级证书颁发机构文件夹中,验证 Comodo RSA 域验证安全服务器 CA 和 Comodo RSA 证书颁发机构(颁发给 Comodo RSA 证书颁发机构,由 AddTrustExternal CA Root 颁发)是否安装在此证书存储区中。

在“受信任的根证书颁发机构”文件夹中,验证是否安装了 AddTrustExternal CA Root。此外,如果您看到 Comodo RSA 证书颁发机构(由 Comodo RSA 证书颁发机构颁发,有效期为 2038 年 1 月 18 日)存在,请删除此证书。

如果缺少任何证书,则在颁发证书时,会将中间证书和根证书以 .zip 文件的形式提供给您,或者您可以通过此支持文章获取 -https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/979/108/domain-validation-sha-2

如果您必须从“受信任的根证书颁发机构”文件夹中删除 Comodo RSA 证书颁发机构,则还需要禁用服务器上的自动根证书更新 -https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/769/17/turn-off-automatic-root-certificates-updates-server-2008

如果您已执行这些步骤,但服务器上的证书链尚未更新,则要强制 IIS 更新证书链,您需要将 IIS 中的证书绑定更改为另一个证书,然后将证书绑定切换到正确的证书。或者,您需要重新启动服务器。


混合内容

如果我们使用正确的证书访问运行 http 和 https 的网站,那么我们会收到 SSL 证书警告错误消息。

浏览器并不喜欢混合 HTTPS 和 HTTP 内容的网站。

例如,如果 HTML 由 HTTPS 提供,但某些图像、脚本或 CSS 由 HTTP 提供,则浏览器无法使用通常的绿色挂锁来告诉用户该网站是安全的。它存在部分漏洞。


其他常见证书错误

对于仅在 http 上运行的网站来说它运行良好。

不是。对于 HTTP,浏览器根本不会查看证书。

我们收到 SSL 证书警告错误消息。

确切的实际警告消息将告诉您证书出了什么问题。一些常见问题包括:

  • 已过期。
  • 它与网站属于不同的域名。
  • 您的浏览器不信任证书颁发者(CA)。

解决方案分别是

  • 更新它
  • 获取正确域名的证书
  • 从其他 CA 购买证书

相关内容