小黄鸟抓包时ssl证书不可信


我们在访问网站时,常常会在浏览器或手机上弹出“SSL证书不可信”,这样很容易导致访问者不再信任网站,或者选择暂时离开网站,以确保他们的信息、财产安全。那么导致SSL证书不可信的原因有哪些呢?

可信SSL证书是什么?若网站部署的SSL证书是在国科云这一专门接受可信CA机构颁发的证书,则浏览器将信任该SSL证书。举一个简单的例子,可信的SSL证书就像你所持的身份证,是由公安机关直接签发,不管你去开房,买火车票,到银行办理业务等,这些证件都会被酒店、售票点、银行认可。

很多公司为了节省成本都会采用自签名的证书,自签名的证书是自家建立一套CA系统,自己签发SSL证书,这样成本就会低很多,签发成本也会更长,然而这样的证书是不被浏览器所认可的。

许多免费证书由于根证书不在某些浏览器的信任库中,所以没有得到所有浏览器的认可,因此也会因为兼容性问题导致证书不信任情况的发生。

SSL证书与其他证件一样都是有有效期限的,而且SSL证书在有效期控制方面更加严格,目前SSL证书的有效期长最长只有一年,因此,当网站部署的SSL证书过期时,浏览器将提示网站“SSL证书不受信任”。

证书签发都是针对对应IP或者域名签发的,如果站点使用了错误的SSL证书,比如网站A错误使用了网站B的证书,就会出现证书不可信的情况。

通常,SSL证书包含服务器证书、中级证书、根证书,有些需要交叉证书。许多时候,如果操作系统默认只内置权威的根证书,而你直接安装了你自己的域名服务器证书,那么证书链就不完整了,操作系统无法确定谁是真正的SSL证书的发出者。因此,当服务器配置安装SSL证书时,我们需要检查证书链的完整性,以确保SSL证书能够正常使用。

必须指出的是,现在还存在一些WindowsXPSP2以下和Android4.2以下的老式系统,因为它们太早了,而当时没有任何系统供应商支持SNI协议。目前几乎所有主流操作系统和浏览器都支持SNI协议,SNI协议是一种技术,它允许多个支持SSL证书的域名共享相同的IP地址。多年前,SSL证书需要绑定到单独的IP地址使用,而随着IPv4地址池的不足,SNI技术也随之产生。