找到一个使用合法证书(由 thawte 签名)的网站,但所有浏览器都会拒绝它。我不明白为什么。 thawte 的支持告诉我,一个域有两个证书,然后将其发送给我https://www.sslshopper[dot]com/ssl-checker.html?hostname=donaubuero.de。 谁能解释一下为什么 thawte 上面的证书链坏了?为什么donaubuero[dot]de的证书无效?
谢谢
【问题讨论】:
标签: ssl certificate chain
在您的网络服务器上,您需要安装站点证书和证书链,它将您的证书链接到浏览器中的根证书。
链证书应由您的 SSL 提供商提供。
怎么做,你需要检查你的网络服务器文档。有时您只需要添加 SSL 配置,有时您需要将其与您的站点证书链接起来。
附录:
您有一个证书,可能由 3 级证书签名。但是有很多 3 级证书(并且良好的安全实践“要求”经常更新此类证书 [3 级 CA 自动签署证书,根 CA 离线存储,并且很少,并且以更可控的方式,他们签署了2 级证书]。因此浏览器无法存储所有 3 级证书。
因此,该协议要求您还提供从根到您的证书的链。因此,浏览器检查 root 是否受信任(通过浏览器)并检查各个级别是否受上一级证书的信任。这样,他就会知道你的证书是可信的。
链中的顺序很重要,SSL的一些实现需要链加上站点证书(作为两个文件,例如Apache),但其他需要完整的链(链附加到站点证书,所以一个文件,许多电子邮件服务器)。在某些浏览器上,证书链中的顺序很重要(移动浏览器更挑剔)。
这个网站的解释可能比我的帖子更好:https://support.dnsimple.com/articles/what-is-ssl-certificate-chain/
【讨论】: