在安装了 EV SSL 证书几个月后,我们收到了 GoDaddy 的一封电子邮件,告诉我们证书链不正确。他们要求我们禁用“GoDaddy 2 类根证书”,并确保我们拥有正确的证书已安装。(大概我在第一次配置时弄乱了一些东西)
然而,在过去的几个月里,我自己并没有看到任何证书错误 - 但至少自从他们要求进行更改以来,似乎证书正在测试中。(不幸的是,我直到做出更改后才找到这个网站,所以我不知道它之前会测试什么)
因此,我想知道的是,在此期间可能发生的最坏情况是什么。有些人没有得到绿条吗?人们收到了警告吗?还是这真的不重要?
我还有点担心禁用所有用于 2 类证书的功能是否会对其他非 EV 证书产生影响 - 这可能吗?
答案1
如果您的链不正确,最有可能的情况是,那些没有您 CA 颁发证书的完整根证书链的人将收到错误。
EV 证书相当新。甚至 Thawte 也只将其完整 EV 链引入较新版本的浏览器。例如,除非更新根证书,否则 Firefox 2 和 IE7 会抛出验证错误。即使证书验证无误,IE6 和 Firefox2 也不会显示绿条,因为浏览器不支持显示绿条。
有多种解决方法,包括在服务器上添加完整链和 CA 将提供的客户端 JavaScript“魔法”,这将更新客户端证书。
答案2
最糟糕的情况是旧版浏览器的用户会收到证书不受信任的错误提示。第二糟糕的情况是某些浏览器不会显示“绿色条”。
更改发送的中间证书(即使通过禁用根证书)不会对其他非 EV 证书产生任何影响。您通常可以相信您的证书提供商知道如何使他们自己的证书值得信赖和兼容。