我们的一个 SSL 提供商的根证书已于 2009 年 12 月 29 日到期。他们有一个新的证书,将于 2029 年到期。
不幸的是,使用该 SSL 证书的网站现在抛出了 SSL 错误,表明由于颁发者未知,因此无法验证证书。
经过一些匆忙的研究,我们发现为了解决这个问题需要一个复杂的过程来更新本地机器上的根 CA 列表。
例如,我们必须从 SSL 提供商处下载新的 CRT 文件,然后手动将其导入 IE、Firefox 等。
显然,我们无法像上面描述的那样通知日常网站用户更新他们的计算机。如何解决这个问题?
我们是否应该等待浏览器在下次预定的更新中更新其根 CA 列表?
虽然我以前管理和安装过新的 SSL 证书,但从未遇到过必须更新根证书的情况。
希望有人能帮我指明正确的方向。
答案1
短期内解决该问题的办法是将证书替换为其他供应商的证书。不幸的是,这意味着您必须购买 ($$$) 新证书。
以下是CA 供应商建议。他们认为你应该等到浏览器升级或手动安装证书。这对大多数人来说可能是不可接受的。
答案2
您的 SSL 提供商更新了他们的根证书,但没有在几年内将其推送到每个人的浏览器?如果是这样的话,我会很快找到一个新的 CA。鉴于我们甚至不知道您说的是哪个提供商,因此无法给出具体的说明。我会再三检查中间证书是否安装正确;尽管我认为商业 CA 是骗人的骗子,但我还没有听说过一个相当这无能。您应该联系您的 SSL 提供商,并向他们询问如何正确修复此问题,如果他们确实很糟糕,请退款。
答案3
不幸的是,这似乎是“一分钱一分货”的情况。最简单、最省事的解决方案可能是用其他供应商的证书替换您当前的证书。Thawte(由 Verisign 拥有)是全球第二大公共 CA,颁发 SSL 证书的费用低至 149.00 美元。