鲁达 通过SSL证书来确保网站数据通信加密传输,是如今很多网站解决互联网信息安全的重要手段之一。然而在SSL证书安装完成后,并不代表着网站就安全了,有些时候网站部署SSL证书后,访问时浏览器仍提示连接的不是私密连接,如何解决这些问题确保网站正常运行呢?本文我们以谷歌浏览器为例,为大家分析一下浏览器报错原因和解决方法。
1.报错:“NET::ERR_CERT_DATE_INVALID”
原因:证书已经过了有效期
解决方法:证书已到期并被删除,重新申请一张新的证书并正确安装即可解决报错。
2.报错:“NET::ERR_CERT_COMMON_NAME_INVALID”
原因:网站使用的证书与域名不匹配
解决方法:证书支持的域名与网站域名不一致,换句话说,就是该网站使用了错误的证书。解决方法是重新安装属于该网站的证书。
3.报错:“NET::ERR_CERT_AUTHORITY_INVALID”
原因:网站使用了无效的证书颁发机构签发的证书
解决方法:这个报错表明网站使用的证书的根证书不被谷歌浏览器信任,可能是用户使用了自签名证书,也有可能是该证书的根证书被吊销。解决方法是重新申请一张由浏览器信任的证书颁发机构签发的证书。
4.报错:“NET::ERR_CERT_REVOKED”
原因:网站使用的证书已经被吊销
解决方法:证书由于企业信息变更或者网站内容涉及违规等原因被证书颁发机构吊销,证书进入证书吊销列表CRL。我们需要重新申请一张新的证书并正确部署。
5.报错:“NET::ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN”
原因:网站使用的证书与网站内置的HTTP公钥固定不匹配
解决方法:有可能是网站遭到了劫持,我们需要检查网站的DNS解析,从而恢复正常的HTTPS访问;也有可能是HPKP没有正确设置导致谷歌浏览器报错。
6.报错:“NET::ERR_CERT_WEAK_SIGNATURE_ALGORITHM”
原因:网站使用了已经不安全的签名算法
解决方法:数字签名算法用于通信双方的身份验证,如果使用已经不安全的SHA-1签名算法,谷歌浏览器就会报错。我们应该使用SHA-2家族中的SHA-256签名算法。
7.报错:“NET::ERR_SSL_VERSION_OR_CIPHER_MISMATCH”
原因:网站使用了浏览器不支持的加密协议版本或加密套件
解决方法:该报错在低版本的操作系统或浏览器上比较常见。如果是加密协议版本的问题,解决方法有两种:其一是升级谷歌浏览器至最新版本,使浏览器支持更多的加密协议;其二是启用所有SSL/TLS协议版本,确保浏览器支持的加密协议版本处于开启状态。如果是加密套件的问题,则需要设置优先使用前向加密FS系列加密套件。