我的 SSL 证书已过期。我为我的域名创建了一个新的证书,但几天后就过期了。证书现在已上线并可以使用,但用户方面存在问题。证书过期后,用户有时会为我的网站添加“永久例外”,因此当我添加新证书时,他们仍然有旧的例外,当他们将鼠标悬停在我网站上的“锁定”图标上时看不到新的证书。
那么,有没有办法让用户重新检查证书或删除浏览器的旧例外,而无需为他们提供大量设置选项?也许是一些自动化流程?
答案1
如果新的 SSL 证书是由受信任的证书颁发机构签名的,则安装后立即生效。如果用户在浏览器中没有看到新证书,则意味着服务器上未安装新证书或存在 MITM 攻击,或者他们正在访问错误的站点。
如果出现以下情况,新证书可能无效:
- 它是为错误的站点签名的(请参阅证书的主题和主题备用名称字段)。
- 它是由浏览器不信任的 CA 签名的
- 不在有效期内
- 它是为不同目的而签名的(例如,为某个人进行软件签名)等等......
编辑 1:要查看 Web 服务器提供的当前证书的信息,您可以运行:
echo ""|openssl s_client -connect example.com:443|openssl x509 -text -noout