我从 NameCheap 购买了一个便宜的 SSL 证书(GeoTrust RapidSSL(准确地说是 ),许多用户抱怨他们在访问页面时收到“不受信任的 SSL 证书”错误。我收到了来自以下环境的投诉:
- 带有 IE9 的 Windows 7
- 装有最新 Chrome 的 Windows 7
- 带有最新 Chrome 的 Windows Vista
- Windows 7 上安装了最新的 Firefox
- 带有 IE8 的 Windows XP
然而,许多使用这些配置的用户不会遇到任何问题。我个人分别使用 OS X 和 Windows 7 以及 Chrome Canary 和最新的 Firefox,从未见过错误。
是什么原因导致了这些看似不一致的 SSL 警告?我原以为 RapidSSL 产品在 99% 以上的浏览器中都有效,但我不断听到许多用户说证书无效。
我使用的是 Nginx 1.4.1,其配置如下:
listen 443 ssl;
listen [::]:443 ssl default ipv6only=on;
ssl on;
ssl_certificate /path/to/cert.crt
ssl_certificate_key /path/to/cert.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers RC4:HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
笔记:我从未听说过 iOS 或 OS X 设备抛出该错误。
答案1
假设有问题的主机与您提供的屏幕截图中列出的主机相同,则似乎可能存在一些配置问题,您应该查看。至少在我看来,一个好的开始点是关注网站。图片中列出的主机已经过测试,结果可以看到这里. 最佳实践指南可以是找到这里。
现在,让我们来谈谈你最初的问题。首先要指出的是,你的网站只能在支持 SNI 的浏览器中运行。SNI 在 Windows XP 上无法运行,即使是在 Internet Explorer 8 上也无法运行,因为它依赖于基于操作系统而非基于浏览器的特定 SCHANNEL 组件。有关浏览器和 SNI 支持的更多信息,请访问找到这里。您在原始证据截图中观察到的问题也表明证书链存在问题;这可能需要更改您的 CSR 或您在 Web 服务器上实施证书和相关中间证书的方式。
RapidSSL 有一个安装证书的出色指南,并且可以找到这里。从 www.fqdn.com 连接到屏幕截图中列出的网站和从 fqdn.com 连接到网站似乎也存在差异。您可能也想了解一下这一点。
看起来您还有几件事要考虑,一旦解决,应该会帮助您解决最初看到的一些问题。希望这能有所帮助。
答案2
尝试运行此测试。https://www.ssllabs.com/ssltest/index.html
或者因为 RapidSSL 是 Symantec 的子公司,因此您可以使用此工具https://ssl-tools.verisign.com和安装程序https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=SO19374&actp=search&viewlocale=en_US&searchid=1376579760379