常見的SSL證書錯誤類型及其修複方法
一個SSL證書是一個標準的安全技術,加密訪問者的瀏覽器和網站之間的訊息。因為它有助於保護密碼和支付訊息等敏感訊息的安全,所以訪問者在使用SSL加密的網站上會感到更安全。您可以通過URL中的HTTPS和地址欄中的掛鎖圖標來識別加密網站。
什麼是SSL證書錯誤?
當Web瀏覽器無法驗證網站上安裝的SSL證書時,會發生SSL證書錯誤。您的瀏覽器會顯示一條錯誤消息,警告您該網站可能不安全。根據兩個因素,此消息看起來會有所不同。首先是您使用的瀏覽器,第二個因素是發生的SSL證書錯誤的類型。
SSL證書錯誤的類型
您的網站上可能會出現多種不同類型的SSL證書錯誤。
1.SSL證書不可信錯誤
此錯誤表示SSL證書是由瀏覽器不信任的公司簽署或批准的。這意味著該公司(稱為證書頒發機構 (CA))不在瀏覽器的受信任證書提供商的內置列表中,或者證書是由伺服器本身頒發的。伺服器頒發的證書通常稱為自簽名證書。
2. 名稱不匹配錯誤
此錯誤表明SSL證書中的域名與輸入到瀏覽器中的URL不匹配。此消息可能是由諸如「www」之類的簡單內容引起的。假設證書是為www.yoursite.com註冊的,並且您輸入https://yoursite.com。然後您會收到SSL證書名稱錯誤。
3. 混合內容錯誤
此錯誤表示安全頁面(在地址欄中使用HTTPS加載的頁面)包含從不安全頁面(在地址欄中使用 HTTP 加載的頁面)加載的元素。即使頁面上只有一個不安全文件(通常是圖像、iframe、Flash動畫或JavaScript 片段),您的瀏覽器也會顯示錯誤消息而不是加載頁面。
4.SSL證書過期錯誤
當網站的SSL證書過期時會發生此錯誤。根據行業標準,SSL證書的有效期不能超過 398 天。這意味著每個網站都需要至少每兩年更新或更換一次SSL證書。
否則,當您嘗試加載您的網站時,您會看到如下所示的錯誤:
5.SSL證書撤銷錯誤
此錯誤表示CA已取消或吊銷網站的SSL證書。這可能是因為該網站使用虛假憑據(無論是意外還是故意)獲取了證書、密鑰已洩露或發布了錯誤的密鑰。這些問題會導致以下錯誤消息:
6. 通用SSL協議錯誤
此錯誤特別難以解決,因為有多種潛在原因,包括:瀏覽器無法解析的格式不正確的SSL證書;未正確安裝在伺服器上的證書;錯誤、未經驗證或缺少數字簽名;使用過時的加密算法;干擾SSL保護的防火牆或其他安全軟體;證書信任鏈中的問題,即構成網站SSL加密的一系列認證。
如何修復SSL證書錯誤
1. 使用線上工具診斷問題
首先,使用線上工具來確定導致您網站上出現SSL證書錯誤的問題。您可以使用SSLChecker、SSLCertificate Checker或SSLServer Test 等工具,這些工具將驗證SSL證書是否已安裝且未過期、域名是否正確列在證書上等。要使用該工具,只需將您的網站地址複製並貼上到搜尋欄中。
2. 在您的Web伺服器上安裝中間證書
如果問題是您的CA不受信任,那麼您可能需要在您的Web伺服器上安裝至少一個中間證書。中間證書幫助瀏覽器確定網站的證書是由有效的根證書頒發機構頒發的。
3. 生成新的證書籤名請求 (CSR)
如果您仍然收到證書不受信任的錯誤,那麼您可能沒有正確安裝證書。在這種情況下,您可以從您的伺服器生成一個新的CSR,然後從您的證書提供商處重新頒發它。
4. 升級到專用IP地址
如果您收到名稱不匹配錯誤,則問題可能出在您的IP地址上。
當您在瀏覽器中輸入域名時,它首先會連接到您網站的IP地址,然後再轉到您的網站。通常,網站有自己的IP地址。但是,如果您使用專用主機以外的網路主機類型,您的網站可能會與多個網站共享一個IP地址。如果其中一個網站沒有安裝SSL證書,那麼瀏覽器可能不知道它應該訪問哪個網站並顯示名稱不匹配的錯誤消息。要解決此問題,您可以升級到網站的專用IP地址。
5. 獲取通配符SSL證書
如果您仍然收到名稱不匹配錯誤,則您可能需要獲取通配符SSL證書。這種類型的證書將允許您保護多個子域名以及您的根域。例如,您可以獲得一個多域SSL證書來涵蓋以下所有名稱:
mysite.com
email.mysite.com
autodiscover.mysite.com
blog.mysite.com
6. 將所有URL更改為 HTTPS
如果您在其中一個網頁上遇到混合內容錯誤,請將URL複製並貼上到WhyNoPadLock.com 中以識別不安全元素。確定元素後,編輯頁面的原始碼並將不安全元素的URL更改為 HTTPS。
7. 更新您的SSL證書
如果您的SSL證書已過期,則必須立即更新。續訂過程的詳細訊息因您使用的Web主機或CA而異,但步驟保持不變。您需要生成CSR、激活證書並安裝它。
