SSL证书？

中科三方：5种导致”SSL证书不被信任”的原因

很多网站管理人员都会遇到这样的困惑：自己的网站明明已经安装了SSL证书，为什么在客户访问的时候，浏览器仍然会发出告警提示呢？究其原因主要有以下五种情况。

1. 证书不是可信任的CA机构颁发

对证书有了解的朋友应该都明白，SSL证书可以分为自签名证书和付费证书两种，自签名证书就是可以自己给自己颁发数字证书，同样可以实现网站的HTTPS化，然而这种证书成本较低，然而不受浏览器信任，因此在客户访问的时候，系统会发出不信任的告警提示。

因此，为了保障网站的安全和用户的访问体验，网站尤其是企业网站应该购买可信任的政府颁发机构所颁发的数字证书，这一点十分重要。目前全球比较知名的CA颁发机构主要有赛门铁克、CFCA、Geotrust、Globalsign等。

2. 数字证书信任链配置错误

我们常用的SSL证书，基本上很少是CA机构颁发的根证书，大部分都是二级证书，如果不配置中级CA，操作系统就无法确定SSL证书的真正颁发者是谁。这个时候我们的证书和被受到信任的根证书就存在一个中间证书，这个叫中级证书颁发机构CA。

如果我们只安装了最终的域名证书，而没有安装中间证书导致证书链不完整，系统就无法回溯根证书的颁发机构，就会被系统判定为不可信任。为了解决这个问题，我们需要在服务器端配置安装SSL证书时，同样要使得我们的证书链完整，才能正常使用。

3. 证书和域名不匹配

多数情况下我们的证书颁发机构都会为我们的域名做完整的匹配，但有些时候某些证书颁发机构可能会疏忽。当我们为自己的域名比如sfn.cn申请数字证书的时候，我们的CSR当中仅定义了sfn.cn这一个主域名，并未添加更多域名DNS记录。那么当你证书颁发的时候访问www.sfn.cn就不会受到信任，会提示你该证书不是这个域名的。这个时候需要联系证书颁发机构或证书提供商进行重新签发并包含该域名。

4. 证书已经过了有效期

SSL证书都是有效期限的，如果证书已经过期，在用户访问网站的时候，系统也会发出告警提示。可以在浏览器的Internet选项中点击查看证书的有效期限，如果已经过了有效期，需要及时向域名服务商联系并进行续费操作，以保证网站的正常运行和访问。

5.客户端不支持SNI协议

这种情况只会发生在客户使用的操作系统是Windows XP SP2以下，Android4.2以下等较低的系统版本中。SNI协议就是让多个支持SSL证书的域名共享同一个独立IP地址的技术，现在已经被几乎所有主流操作系统和浏览器支持了。在很多年以前，SSL证书是需要绑定到独立IP地址使用的，由于IPv4地址池的逐渐不够分配，SNI技术应运而生了。

一、什么是SSL证书SSL英文全称是Secure Sockets Layer，中文译为“安全套接字协议”，是为网络通信提供安全及数据完整性的一种安全协议。SSL证书是数字证书的一种，它是遵守SSL安全套接层协议的服务器证书，网站安装部署SSL证书，可实现网站身份验证和数据加密传输的功能。

在安信SSL证书申请购买证书产品，类型多样，https证书价格实惠。

二、SSL证书的类型1、SSL证书按照验证方式划分：

DV SSL证书：指只验证网站域名所有权的简易型SSL证书，此类证书仅能起到网站机密信息加密的作用，无法向用户证明网站的真实身份。

OV SSL证书是Organization Validation SSL的缩写，指需要验证网站所有单位的真实身份的标准型SSL证书，不仅能起到网站机密信息加密的作用，而且能向用户证明网站的真实身份。

EV SSL是Extended Validation SSL的缩写，指遵循全球统一的严格身份验证标准颁发的SSL证书，是目前业界最高安全级别的SSL证书。

2、SSL证书按照域名保护数量划分：

单域名证书：单域SSL证书或标准SSL证书是入门级证书，与其他类型的证书相比，其验证过程更快。单域SSL通过检查WHOIS 记录来验证 SSL 请求者的域所有权。

多域名证书：又名 SAN/UCC SSL 证书，是针对不同级别的多个域和子域的安全盾牌。单个证书提供加密，为服务器和浏览器之间的数据传输创建安全隧道。

通配符证书：又叫泛域名SSL证书，可保护一个域名以及该域名所有下一级域名，不限制下级域名数量，后续添加新的子域无须重新审核和另外付费。

三、SSL证书的作用1、网站实现加密传输，加强隐私安全保护

2、认证服务器真实身份，防止钓鱼网站仿冒

3、有利于提高网站搜索排名及收录

4、提高公司品牌形象和可信度