发现一个使用合法证书的网站(由thawte签名),但所有浏览器都会拒绝。我不明白为什么。 thawte的支持告诉我,一个域有两个证书,然后发送给我https://www.sslshopper[dot]com/ssl-checker.html?hostname=donaubuero.de。 谁能解释一下为什么解冻之上的证书链被打破了?为什么donaubuero [dot] de的证书无效?
感谢
答案 0 :(得分:-1)
在您的网络服务器上,您需要安装站点证书和证书链,这些证书将您的证书链接到浏览器中的根证书。
链证书应由您的SSL提供商提供。
如何操作,您需要检查您的Web服务器文档。有时您只需要添加SSL配置,有时您需要将其与您的站点证书链接。
附录:
您有证书,可能是由3级证书签署的。但是有许多3级证书(良好的安全实践“要求”这些证书经常更新[3级CA签名自动证书,根CA离线存储,很少,并且以更加可控的方式,他们签署一个2级证书]。因此浏览器无法存储所有3级证书。
协议如此,要求您还提供从root到证书的链。因此浏览器检查root是否可信(通过浏览器)并检查以前级别的证书是否信任各种级别。通过这种方式,他将知道您的证书是值得信任的。
链中的顺序很重要,SSL的某些实现需要链加上站点证书(作为两个文件,例如Apache),但是其他需要完整的链(链附加到站点证书,所以一个文件,许多邮件服务器)。在某些浏览器上,链中的证书顺序很重要(移动浏览器更挑剔)。
这个网站有一个比我的帖子更好的解释:https://support.dnsimple.com/articles/what-is-ssl-certificate-chain/