桑坦德银行想要使用我们的网站,但是在尝试访问时收到以下错误:
“网络错误:您的请求联系了一个提供由不受信任的颁发者签名的证书的主机。”
这条信息以红色文本和他们的徽标显示在页面上,因此这是他们在验证我们的网站是否可以安全使用时发出的自定义消息。他们的技术团队回应说,这是由于我们网站上的证书已过期,DST 根 CA X3我相信这是 LetsEncrypt(我们将其用于我们的证书)使用的旧证书。这是 ssllabs.com 针对我们站点的证书输出的认证路径:
据我所知,我相信这不会造成问题,除非他们使用非常旧的网络浏览器,因为任何现代浏览器都应该使用“路径#1”?
另外,他们还表示还存在“备用名称”不匹配问题,通过 ssllabs 显示以下内容。它被列为“证书 #2”,属于 Fastly,因此他们的备用名称不包括我们的域名是有道理的。
我的理解是,除非他们以某种方式尝试在未启用 SNI 的情况下访问我们的网站,否则这不会造成问题?
通过分析斯坦福大学网站也可以发现这两个问题:https://www.ssllabs.com/ssltest/analyze.html?d=www.stanford.edu&s=151.101.2.133&latest
我的主要问题是:
- 这两个“问题”中的任何一个都可能导致他们的问题吗?如果是的话,我可能的解决方案是什么?
- 我应该问他们什么问题才能进一步了解他们遇到的问题?
- ssllabs 从哪里获得第二个证书?
我对 SSL 的了解有限,所以请多包涵。
答案1
第二个证书来自于尝试连接没有服务器名称指示(SNI)的主机;RFC 6606,3)由于 SNI 是20 岁技术,它得到了所有人的广泛支持,可能不会造成问题。此外,www使用第一张图片中的证书的域的子域由 4xIPv4 和 4xIPv6 地址提供服务,所有这些地址目前都为主机名提供了有效的证书。
您应该问的问题是他们是否有ISRG Root X1受信任的 CA 商店。