月度归档： 2021年9月

当您访问安装有SSL证书的网站时，会向您访问的域以外的域发出以下警告。

IE：”本网站出示的安全证书是针对其他网站的地址签发的。

火狐：”www.domain.com 使用无效的安全证书。” 或 “该证书仅对以下名称有效： www.otherdomain.com， otherdomain.com”

当 SSL 证书发出的常见名称（例如，www.domain.com）与 URL 栏中显示的名称不完全匹配时，就会发生这种情况。任何差异都会导致 Web 浏览器停止并显示名称不匹配错误。即使正确证书安装得当，也可能发生此错误。例如，您通过 IP 地址或内部名称连接到网站，但证书已颁发给完全合格的域名（反之亦然）。

也可以安装自签名证书，而不是由受信的CA机构（如 DigiCert）签发的服务器特定安全证书，或者请求中拼错了域名。

如果您的网站由带有名称的证书 www.domain.com 如果您使用以下任何名称进行连接，您将收到此错误：

domain.com
示例.本地
208.77.188.166
10.1.1.7

即使以上所有地址都将带您访问具有有效证书的站点，如果您连接到证书签发的名称以外的名称，您仍然可以获得名称错误。

DigiCert 的多域 （SAN） 证书旨在通过允许向多个名称（即完全合格的域名或 IP 地址）颁发一个证书来解决这个问题。

要检查您的证书是否有名称错误，我们建议您使用我们的SSL 证书检测工具。在服务器地址框中输入您的域;如果证书名称不匹配，您将获得一条错误消息，说明”证书与名称 domain.com 不匹配”。

下面是针对不同浏览器的更多警告消息。

谷歌浏览器：”这可能不是你要找的网站！您试图到达 www.site.com，但实际上您到达了一台自称为 othersite.com 的服务器。这可能是由服务器上的配置错误或更严重的事情引起的。网络上的攻击者可能试图让你访问虚假（且可能有害）版本的 www.site.com。您不应继续。

IE 6：”您与本网站交换的信息不能由其他人查看或更改。但是，网站的安全证书存在问题。安全证书上的名称无效或与网站名称不匹配。你想继续吗？

IE 7：”本网站的安全证书存在问题。本网站出示的安全证书是针对其他网站的地址签发的。安全证书问题可能表示试图欺骗您或拦截您发送到服务器的任何数据。

火狐 3+4：”您已要求 Firefox 安全连接到 www.domain.com，但无法确认您的连接是否安全。通常，当您尝试安全连接时，站点会提供可信的身份证明，以证明您要前往正确的地方。但是，无法验证此站点的身份。www.domain.com 使用无效的安全证书。证书仅对以下名称有效：www.otherdomain.com，otherdomain.com”

“您试图与”www.site.com”建立联系。但是，出示的安全证书属于”www.othersite.com”。有可能，虽然不太可能，有人可能会试图拦截你与这个网站的通信。如果您怀疑所示的证书不属于”www.site.com”，请取消连接并通知网站管理员。

ssl证书错误怎么解决

证书在 Web 浏览器中不可信

当您访问安装安全证书（用于 SSL/TLS 数据加密）的网站时，Web 浏览器会发出以下警告，而浏览器无法验证该证书。

IE：”本网站出示的安全证书并非由受信任的证书机构签发。

火狐 3：”www.domain.com 使用无效的安全证书。由于发卡人证书不详 www.domain.com，证书不可信。证书不可信，因为它是自己签名的。

浏览器由内置的受信任SSL证书提供商列表（如 DigiCert）组成。对于某些站点，证书提供商不在该列表中。如果是这样的话，浏览器会警告您，签发证书的证书管理局 （CA） 不值得信任。如果网站有自签名证书，此问题也可能发生。虽然此警告对于 Internet Explorer 来说相当通用，但 Firefox 3 将区分服务器本身颁发的证书（自签名证书）和另一种类型的不信任证书。

如果您有 DigiCert 证书，并且您收到此错误，请使用下面的章节排除故障。您不需要在客户设备/应用程序上安装任何用于 DigiCert SSL 证书的设备即可正常工作。第一步是使用SSL 证书检测工具查找错误原因。

自签名证书

此错误的一个可能原因是服务器上安装了自签名证书。浏览器不信任自签名证书，因为它们是由您的服务器生成的，而不是由 CA 生成的。您可以判断证书是否自签名，如果 CA 未在我们的SSL 证书检测工具中的发行人字段中列出。

如果您在安装 DigiCert 证书后在服务器上找到自签名证书，我们建议您检查安装说明并确保您已完成所有步骤。

如果您完成了所有安装步骤，但仍存在问题，则应从服务器生成新的 CSR，然后替换新的SSL证书。

中间证书发行

“不可信的证书”错误的最常见原因是托管站点的服务器（或服务器）上没有正确完成证书安装。使用SSL 证书检测工具检查此问题。在测试仪中，未完成的安装显示一个证书文件和一个断裂的红色链条。

要解决这个问题，请将中间证书（或链式证书）文件安装到托存您网站的服务器，然后按照服务器特定的安装说明安装中间证书文件。

一旦您导入中间证书，请再次使用SSL 证书检测工具检查安装。在测试仪中，未完成的安装显示由不间断的蓝色链连接的多个证书文件。

中级证书发行（高级）

如果您使用我们的SSL 证书检测工具收到错误，您正在使用 Windows 服务器，并且您的证书的发行人被列为”DigiCert 高保证 EV CA-3″

下面是针对不同浏览器的更多警告消息。

IE 6：”您与本网站交换的信息不能由其他人查看或更改。但是，网站的安全证书存在问题。安全证书是由您未选择信任的公司签发的。查看证书以确定您是否希望信任认证机构。你想继续吗？

IE 7：”本网站提供的安全证书并非由受信任的证书机构签发。安全证书问题可能表示试图欺骗您或拦截您发送到服务器的任何数据。

火狐 3：”www.example.com 使用无效的安全证书。由于发卡人证书不详 www.example.com，证书不可信。证书不可信，因为它是自己签名的。

保护在线交易和域名身份

传输层安全 （TLS） 证书（也称为安全套接层 （SSL）对于通过数据加密确保互联网浏览器连接和交易至关重要。TLS/SSL 是标准的安全技术，在幕后工作，以保持您的在线交易和登录安全，下面是它的工作原理。

最终用户看不到，称为”TLS/SSL 握手”的过程几乎在每次访问网站时都会在 Web 服务器和 Web 浏览器之间创建受保护的连接。由 TLS/SSL 证书保护的网站将在浏览器地址栏中显示 HTTPS 和小挂锁图标。TLS/SSL 证书用于保护最终用户在传输期间的信息，并验证网站的组织身份，以确保用户与合法网站所有者互动。

TLS/SSL握手过程

1. 每个 TLS 证书由公共钥匙和私钥组成的密钥对组成。这些密钥很重要，因为它们在网站交易期间在幕后进行交互。
2. 每次访问网站时，客户端服务器和 Web 浏览器都会进行通信，以确保有安全的 TLS/SSL 加密连接。
3. 当 Web 浏览器（或客户端）指向安全网站时，网站服务器与客户共享其 TLS/SSL 证书及其公钥，以建立安全连接和唯一的会话密钥。
4. 浏览器确认，在这种情况下，它识别并信任 SSL 证书的发行人或证书管理局。浏览器还检查以确保 TLS/SSL 证书未过期、无端，并且可以信任。
5. 浏览器发回对称会话密钥，服务器使用其私钥解密对称会话密钥。然后，服务器发回一个带有会话密钥加密的确认，以启动加密会话。
6. 服务器和浏览器现在用会话密钥加密所有传输的数据。他们开始一个安全会话，保护消息隐私、消息完整性和服务器安全。

多域名SSL证书，也称为SAN证书，提供无限的灵活性和对主题替代名称字段的完全控制。现在，绝大部分SSL证书都可以配置为允许多域名。这些证书非常适合在不同的域和子域中保护多个名称。您还可以选择添加、更改和删除任何动态的 SAN，以反映网络不断变化的需求。工作原理如下：

您可以确保以下域名：

www.domain1.com www.domain2.com www.domain3.net mail.domain.net dev.domain2.net

主题替代名称字段允许您指定其他主机名称（站点、IP 地址、常见名称等），以受单个 TLS/SSL 证书（如多域名（SAN） 或扩展验证型多域名EV SSL证书）保护。

ECC 证书的历史与效益

黑客和安全研究人员之间不断的来回，加上廉价计算能力的进步，导致需要继续评估可接受的加密算法和标准。

RSA 是目前公共密钥加密的行业标准，用于大多数 SSL/TLS 证书。

一种流行的替代方案，最初由两名独立工作的研究人员（尼尔·科布利茨和维克多·米勒）于1985年提出，椭圆形曲线密码学采用不同的公式化加密方法。虽然 RSA 基于对大整数进行保理的难度，但 ECC 依赖于发现随机椭圆曲线的离散对数。

换句话说，ECC 的工作假设是，虽然可以计算点乘法，但反过来几乎不可能计算乘法，只给给原始点和产品点。随着椭圆形曲线的大小，难度可以显著增加。

ECC证书主要优势

以下是使用 ECC证书的一些好处。

更强键

小型 ECC 键具有较大的 RSA 密钥的等效强度，因为用于生成它们的算法。例如，256 位 ECC 密钥相当于 3072 位 RSA 密钥，384 位 ECC 密钥相当于 7680 位 RSA 密钥！这些强而小的密钥允许加密保持在计算能力之前，而不必简单地创建更长的密钥。

更小的证书大小

由于带有 ECC 证书的密钥大小较小，因此在 SSL 握手期间从服务器传输给客户端的数据较少。ECC 证书还要求更少的 CPU 和内存，提高网络性能，并在大容量或高流量站点上产生潜在的巨大差异。

ECC证书适合你吗？

虽然 ECC 有一些好处，但也有重大缺点，您在转到 ECC 之前应考虑。最重要的是，并非所有浏览器和服务器都支持 ECC 证书，移动平台中的支持尚未经过彻底测试。另一个担忧是，虽然 ECC 总体速度更快，但 ECC 签名验证可能是一项计算密集型任务，在某些设备上可能比 RSA 慢。

并非所有SSL证书都生而相同。 除了使用SSL加密数据之外，还会对网站拥有者的身份进行验证，以增加更多一重的安全性。 SSL证书分为下列三种验证级别：

1、域名验证型SSL证书

这是最基本的SSL验证级别，仅适用于测试服务器和内部链接。我们要求申请人证明其对域名所有权完成验证。谁能获得这类证书？任何人——包括恶意网站。有什么风险？2018年，95％的网络钓鱼网站使用了这种加密形式。

2、组织验证型SSL证书

该级别适用于收集网站用户个人数据的面向公众的网站，仅为组织或企业提供。我们要求申请人证明其对域名的所有权以及其组织已经注册并承担法律责任以完成验证。

3、扩展验证型SSL证书

该级别可进一步使用户确信其个人信息和财务信息已受到保护，仅为组织或企业提供。我们要求域名验证与组织验证，以及对企业的其他验证以完成验证。 网站用户可以通过点击其web浏览器中的挂锁标记来确认EV SSL证书。许多浏览器还为EV网站显示绿色地址栏，这是辨识度很高的信任标志。

SSL: 安全套接字层（Secure Sockets Layer）

SSL是一种保障互联网连接安全的标准技术，方法是为网站和浏览器之间（或两个服务器之间）发送的数据进行加密。 它防止駭客查看或窃取所传输的資訊，包括个人数据或财务数据。

TLS:传输层安全协议（ Transport Layer Security）

TLS是SSL的更新版，比SSL更安全。 我们仍然将安全证书称为SSL证书，因为这是一个更常见的术语，不过当您从DigiCert购买SSL证书时，您将获得最受信任、最新的TLS证书。

HTTPS: 超文本传输协议（Hyper Text Protocol Secure）

当网站受SSL/TLS证书保护时，HTTPS会在URL中出现。用户可以通过点击浏览器地址栏中的挂锁标记来查看证书的详细資訊，包括颁发机构和网站擁有者的公司名称。

为什么您需要SSL证书？

SSL证书不仅适用于电子商务。 它能够保护从您的网站传入与传出的所有类型的信息。

1、如果客户知晓您的结账区（以及他们分享的信用卡信息）是安全的，那么他们就更有可能完成购买。

2、SSL加密并保护用户名和密码，以及用于提交个人信息、文档或图片的表单。

3、即使是不收集付款或敏感信息的博客和网站也需要HTTPS来保护用户活动的隐私性。

为保障用户数据安全，APP在上线之初就强制要求服务器必须使用HTTPS加密协议，并通过HTTPS请求网络通信。 如果域名和协议不满足条件，则无法进行请求。

因此，开发者需要先配置HTTPS证书的域名，实现服务器端HTTPS请求，需要在服务器端配置SSL证书。

SSL证书在APP中起到什么作用

APP应用开发中不直接使用SSL证书，因为SSL证书需要安装在服务器上，然后启动HTTPS://协议的头部，必须符合ATS的一个标准，主要是指 受信任的 HTTPS 协议。 在APP中调用开发。

但是，Internet 上常用的主要网络协议是 HTTP 明文传输协议。 如果您使用该协议与 APP 数据进行交互，您将面临个人和服务器数据暴露。

HTTP明文传输是一种不安全的协议，无法通过APP验证，也无法向服务器提供安全传输。 因此，通过 HTTP 传输的协议数据存在风险。

因此，为APP配置HTTPS加密是各行业开发者无法回避的技术门槛。

SSL加密认证技术是互联网最基本的安全保护措施，所有APP开发者都应该注意。 SSL证书的应用可以有效防止网络攻击的发生，保护个人隐私数据，大大减少因信息泄露而导致“大数据破解”的发生。

天威诚信为APP开发者提供全球可信的SSL证书。 SSL证书可以防止数据泄露、中间人欺诈和流量劫持，保护用户数据传输的安全。