无法信任此服务的 SSL 证书

Posted 2023-02-19

【中文标题】无法信任此服务的 SSL 证书

【英文标题】：The SSL certificate for this service cannot be trusted

【发布时间】：2014-11-15 09:43:59

【问题描述】：

我们使用 Serverscan 扫描了我们的网站 acbd.com，报告显示“此服务的 SSL 证书不可信”。

我们正在使用 Comodo Premium SSL 通配符证书，它在我们的网站上运行良好，我们为 HTTPS 和 RDC 设置了相同的设置。但是当我们扫描我们的网站以获取 PCI 合规性时，它会失败。以下是 PCI 合规性扫描失败的完整详细信息：

应用程序：https 端口：443 协议：tcp 增值税号：51192 简介： 。 说明： 服务器的 X.509 证书没有来自已知的签名 公共证书颁发机构。这种情况可能发生在三个 不同的方式，每一种都会导致下面的链中断 哪些证书不可信。 首先，服务器发送的证书链的顶部可能没有 来自已知的公共证书颁发机构。这个可以 当链的顶部是无法识别的自签名时发生 证书，或者当缺少中间证书时 将证书链的顶部连接到已知的公共证书 权威。 其次，证书链可能包含一个不是 在扫描时有效。这可能发生在扫描时 发生在证书的“notBefore”日期之一之前或之后 证书的“notAfter”日期。 第三，证书链可能包含一个签名，要么 与证书信息不匹配，或无法验证。 可以通过获取证书来修复错误的签名 由其发行人重新签署的错误签名。签名 无法验证是证书颁发者使用的结果 Nessus 不支持或不支持的签名算法 认识。 如果远程主机是生产中的公共主机，则 链使用户更难验证真实性和 Web 服务器的身份。这可以使其更容易执行 针对远程主机的中间人攻击。

解决方案：

为此服务购买或生成适当的证书。 CVSS 基础分数：6.4 (CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N) 插件输出： 以下证书是证书链的一部分 由远程主机发送，但具有使用算法的签名 Nessus 无法识别：

我无法理解这一点。你能详细说明一下吗？据我了解，Comodo Premium SSL 通配符证书不受信任。

请告诉我为什么它在 PCI 合规性测试中失败。为什么显示“此服务的 SSL 证书不可信”？

如何通过 PCI 合规性测试？

【参考方案1】：

如果扫描服务失败但浏览器接受证书，可能是这样的：“...或者当中间证书丢失时...”。对照https://www.ssllabs.com/ssltest/ 检查您的服务器，您可能会获得更多信息。

【讨论】：

是的，链条看起来不错。但是，您能否在后面添加部分：“以下证书是远程主机发送的证书链的一部分，但具有使用 Nessus 无法识别的算法的签名”。它可能包含出现问题的必要信息。

这是完整的部分。

那么报告可能是假的，ssllabs 说它符合 PCI 标准。也许他们无法处理您的站点拒绝 SSL 3.0 连接的事实。