我们拥有由 Verisign 颁发的证书,但由于不再需要它,因此已让它过期。
已将带有“https://”URL 的网站加入书签的客户会收到“证书已过期”警告。我们的某些文档也可能引用已失效的 URL。
有没有什么办法可以消除这个警告?理想情况下,我们只想将它们重定向到网站的纯“http://”版本。
答案1
证书过期警告完全是客户端的,因此唯一能让客户端浏览器满意的就是向它们提供它们喜欢的证书。除了提供有效的证书之外,你什么也做不了,否则客户端会显示错误消息。即使你设置了重定向,浏览器也会在收到重定向之前协商 SSL(如果你提供的证书无效,则会向用户显示错误消息)。
这是协议按设计工作的方式。有人可能会说,协议应该设计为允许“此资源不再需要 SSL”模式,以适应您所描述的情况,但事实并非如此。
答案2
尽管真正的答案是您必须拥有有效的证书(如前所述),但另一种方法是不进行重定向并在该 IP 的服务器上禁用 SSL。这样,您将获得浏览器的标准站点未找到错误,而不是有关证书不良的错误。它仍然是一个错误,但在某些情况下更有用。
答案3
我同意埃文安德森的回答,但有一个解决方法。
您可以使用 java keytool 创建自己的自签名证书,以创建新的 Apache/Tomcat 密钥库。这很困难,但可以奏效。用户将获得来自未知来源(您)的证书,但您只需导入该证书并信任它即可。然后,从那时起,您就不会再收到基于过期日期的无效证书。
答案4
就像 Evan Anderson 所写的那样,您的用户可能仍会在浏览器中收到警告。在 Apache 上,重定向应该如下所示:
Options +FollowSymlinks
RewriteEngine on
RewriteCond %{SERVER_PORT} ^443$
RewriteRule ^(.*)$ http://www.domain.com/$1 [R=301,L]