1、網站沒有申請全球可信的SSL證書
什麽是全球可信的SSL證書?如果網站所部署的SSL證書是在沃通CA這種專門受理具有公信力的CA機構簽發的證書,這樣的SSL證書,瀏覽器就會信任認可。打個通俗的比方,可信的SSL證書就類似於您持有的由公安機關簽發的身份證,這種身份證無論您是去購買火車票、去銀行辦理業務等,酒店、售票站、銀行都會認可這種證件。
擴展閱讀:全球可信的SSL證書選購網頁鏈接
2、網站使用的是自簽發的SSL證書
網站出現"https證書不受信任"可能是網站使用了自簽名證書。自簽名證書是壹種自己生成的https證書,沒有通過合法第三方CA機構審核簽發,任何人都可以生成(包括釣魚網站),很容易被仿冒和偽造,容易受到中間人攻擊,存在較大的安全風險,同時瀏覽器也不信任自簽名證書,故部署了自簽名證書的網站會出現"https證書不受信任"。
3、網站使用了兼容性不好的SSL證書
並非所有的CA機構簽發的https證書都是全球通用支持所有瀏覽器的。如果該CA機構沒有通過國際WebTrust認證,那麽他簽發的https證書很多瀏覽器都不信任,比如IE瀏覽器等。網站在申請購買https證書時壹定要選擇通過國際WebTrust認證的CA機構。目前國產CA中,沃通CA獲得國際國內雙認證,簽發的https證書全球可信,支持所有瀏覽器。
4、證書已經不在有效期內
我們知道身份證都有有效期的起始時間,SSL證書也是,而且,SSL證書在有效期的控制上更為嚴格,目前SSL證書的有效期最長時間為27個月,所以當您網站部署的SSL證書已經過期的時候,瀏覽器也會提示網站“SSL證書不可信”。
5、網站引用了錯誤的SSL證書
還是用身份證打比方,張三用李四的身份證去辦理業務,結果都是壹樣的,立馬會被識別出來,所以SSL證書也壹樣,如果網站A用的是網站B的證書,那麽瀏覽器也會提醒“SSL證書不可信”。
我們接觸了很久的數字證書,基本很少有頒發機構會使用他們的根證書直接簽發客戶端證書(End User Certificate), 這可能是出於安全考慮,當然也不排除部分證書頒發機構支持這樣做(但是價格很驚人)。
6、SSL證書鏈不完整
SSL證書壹般包含服務器證書、中級證書、根證書,有的還需要交叉證書。很多情況下下,如果操作系統默認只內置了頒發機構的根證書,而您直接安裝的是自己的域名服務器證書,這個時候證書鏈就不完整,操作系統就無法確定SSL證書的真正頒發者是誰。所以,我們需要在服務器配置安裝SSL證書的時候要檢查證書鏈的完整性,這樣才能確保SSL證書正常使用。
7、客戶端不支持SNI協議
不得不說,現在依然存在壹些微量的Windows XP SP2以下,Android4.2以下的老舊系統,因為這些操作系統實在是太早了,當時系統廠商並未有支持這個SNI協議。SNI協議就是讓多個支持SSL證書的域名***享同壹個獨立IP地址的技術,現在已經被幾乎所有主流操作系統和瀏覽器支持了。在很多年以前,SSL證書是需要綁定到獨立IP地址使用的,由於 IPv4 地址池的逐漸不夠分配,SNI技術應運而生了。