上一篇
https不安全证书
HTTPS不安全证书多因过期、自签名、域名不匹配、根证书未受信任或中间证书缺失引发,需及时更新有效证书、采用权威CA签发、确保配置
HTTPS不安全证书的常见原因与解决方案
证书不被信任的常见原因
自签名证书
- 现象:浏览器提示“不安全连接”,证书由网站自身签发而非权威机构。
- 原因:自签名证书未经过可信第三方(如Let’s Encrypt、DigiCert等)认证,浏览器默认将其标记为不可信。
- 风险:无法验证网站真实身份,易被仿冒。
证书已过期
- 现象:访问时提示“证书已过期”或“失效日期早于当前时间”。
- 原因:证书有效期通常为1年(部分CA缩短至90天),过期后自动失效。
- 风险:过期证书可能被改动或替换,安全性无法保障。
证书颁发机构(CA)不受信任
- 现象:浏览器提示“未知颁发机构”或“证书链不完整”。
- 原因:网站使用的CA证书未预装在操作系统或浏览器的信任列表中(如小众CA或自建CA)。
- 风险:用户无法验证CA的合法性,可能导致中间人攻击。
主机名与证书不匹配
- 现象:提示“证书名称与网址不符”或“CN/SAN缺失”。
- 原因:
- 证书绑定的域名与当前访问的域名不一致(如证书为
example.com,访问test.example.com)。 - 通配符证书(如
.example.com)未正确覆盖子域名。
- 证书绑定的域名与当前访问的域名不一致(如证书为
- 风险:域名劫持或钓鱼网站可能利用此破绽。
中间人攻击(MITM)
- 现象:证书被改动,出现“证书伪造”警告。
- 原因:攻击者拦截流量并替换合法证书(如公共WiFi的SSL劫持)。
- 风险被窃取或改动。
解决方案对照表
| 问题现象 | 可能原因 | 解决方法 |
|---|---|---|
| 浏览器提示“不安全” | 自签名证书 | 向可信CA(如Let’s Encrypt)申请免费证书,替换自签名证书。 |
| 证书过期 | 有效期已过 | 续订证书,更新服务器配置。 |
| 未知颁发机构 | CA未被系统信任 | 将CA的根证书导入操作系统或浏览器的信任存储区。 |
| 主机名不匹配 | 域名与证书不一致 | 重新申请包含正确域名的证书;2. 使用通配符证书覆盖子域名。 |
| 证书被改动(MITM) | 中间人攻击 | 手动验证证书指纹(需提前获取合法指纹);2. 避免使用不安全的网络;3. 启用HSTS(HTTP Strict Transport Security)。 |
相关问题与解答
问题1:如何查看网站的HTTPS证书详细信息?
- 解答:
- 点击浏览器地址栏左侧的锁图标(或“不安全”提示)。
- 查看“证书”选项卡,可看到颁发机构、有效期、域名等信息。
- 切换到“详细信息”标签页,展开“证书路径”以验证证书链是否完整。
问题2:什么是HSTS(HTTP Strict Transport Security)?
- 解答:
- 作用:通过服务器响应头
Strict-Transport-Security强制客户端(如浏览器)仅使用HTTPS连接访问站点,防止降级攻击和Cookie劫持。 - 示例:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
- 效果:即使用户输入
http://,浏览器也会自动升级为https://,并拒绝
- 作用:通过服务器响应头
