为啥我的SSL证书验证失败

Posted 2023-05-10

未按照规定完成域名认证，建议联系SSL证书签发机构辅助您完成认证。

主要SSL证书验证失败原因

域名中包含某些敏感词（例如bank、pay、live等）关键字会导致安全验证失败。建议更换域名中的主机名部分，重新尝试提交订单。如果多次更换主机名，仍提示以上错误，则建议选择其他类型SSL证书产品，或选择更换主域名申请证书。

DNS认证失败

一、DNS解析记录值配置错误。DNS解析记录分为主机记录及对应的记录值。当主机记录配置正确，但对应的解析记录值配置错误时，将导致验证错误。

二、使用DNSPod或部分其他部分域名解析服务商的服务时，因域名解析服务商对不存在的主机记录的查询返回值与预期的返回值不同，导致CA中心验证返回值不准确。

三、DNS解析记录值中的时间戳超时。

四、域名启用了动态解析服务。您的域名启用了动态域名解析服务，相应的TXT解析记录值未能及时同步到海外权威DNS服务器。

文件认证失败

一、访问验证文件时，站点返回错误代码。当尝试获取验证文件信息时，站点返回错误代码页，如50X内部错误页、40X错误页、30X重定向页等。

二、如果您的站点启用了CDN服务，而CDN服务节点未完成海外同步。由于Symantec CA验证服务器没有中国镜像站点，当您的CDN镜像服务节点在海外未能完成同步时，将无法检测到验证文件。

三、验证文件时间戳超时。文件验证方式中的验证文件有效期为七天。当验证文件内容中的时间戳信息超过七天时，将导致验证失败。

参考技术A 原因1：DNS解析记录值配置错误。
DNS解析记录分为主机记录及对应的记录值。当主机记录配置正确，但对应的解析记录值配置错误时，将导致验证错误。
解决方法：配置正确的DNS主机记录及记录值。
原因2：使用dnspod或部分其他部分域名解析服务商的服务时，未完成DNS解析配置。
使用DNSPod或部分其他部分域名解析服务商的服务时，因域名解析服务商对不存在的主机记录的查询返回与预期的返回值不同，导致CA中心验证返回不准确。
解决方法：忽略域名解析设置提示的相关错误，按要求配置DNS的解析记录，完成域名授权验证。
原因3：DNS解析记录值中的时间戳超时。
DNS验证的记录值中包含时间戳，Symantec DV型证书的时间戳有效期截止时间一般为第二天的16:00之前。当TXT记录值中的时间戳信息超过第二天的16:00时，将导致验证失败。
解决方法：登录证书服务管理控制台，获取最新的TXT解析记录值，在域名解析服务商处删除原TXT记录并重新添加新的TXT解析记录。
说明：部分域名服务商域名控制面板中，修改已存在的TXT记录值时，解析记录值生效需要两个小时以上，而新建TXT记录值则可以很快生效。因此建议您通过新建TXT记录值完成验证。待域名验证通过后，可删除相关的TXT解析记录信息。
原因4：域名启用了动态解析服务。
情况一：当域名启用了动态域名解析服务，相应的TXT解析记录值未能及时同步到海外权威DNS服务器。
解决方法：请确保动态解析服务正常，并确保海外的解析服务能够正常解析您新增的TXT解析记录。
情况二：相关域名启用了动态域名解析服务，相应的CNAME解析记录值未能及时同步到海外权威DNS服务器。
解决方法：请确保动态解析服务正常，并确保海外的解析服务能够正常解析您新增的CNAME解析记录。 参考技术B ssl错误一："无法将这个证书验证到一个受信任的证书颁发机构"或者类似"该安全证书由您没有选定信任的公司颁发"等情况。
解决方法：出现的原因可能是由于该证书没有在浏览器信任的列表里，我们可将该证书安装到浏览器的"信任列表之中即可"具体的步骤是：浏览器中选项→内容选项卡→证书-→导入即可。如果是颁发机构不可信的话,推荐购买全球信任的SSL证书，比如沃通SSL证书兼容性非常好。
ssl错误二："此网站出具的安全证书域名与网站网址不一致"
解决方法：一个证书所对应的域名是具有唯一性的。如果你遇到网站出具的证书上的域名和网站本身域名不一样，系统都会报告和证书中域名不匹配，如果有相同主域名的多站点需要申请多域型SSL证书。
ssl错误三："访问网站看到的证书不是我安装的那张"
解决办法：遇到这种问题，我们可以检查一下是否在服务器相同的IP以及端口上，只安装了一张证书，SSL协议是只允许在一个IP端口上返回一张证书。解决这个问题可以通过分配不同的端口号或者不同的IP地址解决。
更多SSL证书验证失败资料参考：https://www.wosign.com/tag/sslyanzhengshibai.htm 参考技术C 　　原因1：DNS解析记录值配置错误。
　　DNS解析记录分为主机记录及对应的记录值。当主机记录配置正确，但对应的解析记录值配置错误时，将导致验证错误。
　　解决方法：配置正确的DNS主机记录及记录值。
　　原因2：使用dnspod或部分其他部分域名解析服务商的服务时，未完成DNS解析配置。
　　使用DNSPod或部分其他部分域名解析服务商的服务时，因域名解析服务商对不存在的主机记录的查询返回与预期的返回值不同，导致CA中心验证返回不准确。
　　解决方法：忽略域名解析设置提示的相关错误，按要求配置DNS的解析记录，完成域名授权验证。
　　原因3：DNS解析记录值中的时间戳超时。
　　DNS验证的记录值中包含时间戳，Symantec DV型证书的时间戳有效期截止时间一般为第二天的16:00之前。当TXT记录值中的时间戳信息超过第二天的16:00时，将导致验证失败。
　　解决方法：登录证书服务管理控制台，获取最新的TXT解析记录值，在域名解析服务商处删除原TXT记录并重新添加新的TXT解析记录。
　　说明：部分域名服务商域名控制面板中，修改已存在的TXT记录值时，解析记录值生效需要两个小时以上，而新建TXT记录值则可以很快生效。因此建议您通过新建TXT记录值完成验证。待域名验证通过后，可删除相关的TXT解析记录信息。
　　原因4：域名启用了动态解析服务。
　　情况一：当域名启用了动态域名解析服务，相应的TXT解析记录值未能及时同步到海外权威DNS服务器。
　　解决方法：请确保动态解析服务正常，并确保海外的解析服务能够正常解析您新增的TXT解析记录。
　　情况二：相关域名启用了动态域名解析服务，相应的CNAME解析记录值未能及时同步到海外权威DNS服务器。
　　解决方法：请确保动态解析服务正常，并确保海外的解析服务能够正常解析您新增的CNAME解析记录。 参考技术D 1、如果是签发验证失败，说明您的域名没有按照CA要求来审核。
2、如果是安装SSL验证失败，可能原因安装目录错误或者未使用正规的SSL证书。

如何修复 SSL 证书验证失败

【中文标题】如何修复 SSL 证书验证失败

【英文标题】：how to fix SSL certificate verification failure

【发布时间】：2018-03-12 17:02:45

【问题描述】：

我在本地使用 PHPMailer，以及 Apache 和 PHP。 当我测试我的 SSL 配置和我的 cacerts 时，我得到了

default_cert_file = C:\Program Files\Common Files\SSL/cert.pem
default_cert_file_env = SSL_CERT_FILE
default_cert_dir = C:\Program Files\Common Files\SSL/certs
default_cert_dir_env = SSL_CERT_DIR
default_private_dir = C:\Program Files\Common Files\SSL/private
default_default_cert_area = C:\Program Files\Common Files\SSL
ini_cafile = 
ini_capath = 

然后，我会这样做

 var_dump(fsockopen("smtp.gmail.com", 465, $errno, $errstr, 3.0));
 var_dump($errno);
 var_dump($errstr);

我明白了

fsockopen resource(2) of type (stream) int(0) string(0) "" 

在我的php.ini 中，我在curl 部分中有curl.cainfo = C:/php/cacert.pem，它可以工作。

但是当我尝试使用 PHPMailer 从本地主机发送邮件时，我不断收到

SSL operation failed with code 1. OpenSSL Error messages:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed 
Failed to enable crypto
unable to connect to ssl://smtp.gmail.com:465 (Unknown error)

我还访问了 SMTP 中使用的帐户 https://accounts.google.com/DisplayUnlockCaptcha 并启用它。和https://myaccount.google.com/lesssecureapps?pli=1 并启用安全性较低的应用程序。 我猜这是一个 SSL 错误，而不是 PHPMailer。坦率地说，我很困惑不知道如何解决它。原谅我的无知，任何关于哪里出了问题以及如何解决它的帮助，都会很棒。

PS，这是我发送邮件的 php 文件。谢谢

<?php
use PHPMailer\PHPMailer\PHPMailer;
use PHPMailer\PHPMailer\Exception;    
require 'C:/php/PHPMailer/src/Exception.php';
require 'C:/php/PHPMailer/src/PHPMailer.php';
require 'C:/php/PHPMailer/src/SMTP.php';

$mail = new PHPMailer(true);                             
try 

    $mail->SMTPDebug = 3;
    $mail->isSMTP();                                      
    $mail->Host = 'smtp.gmail.com'; 
    $mail->SMTPAuth = true;                               
    $mail->Username = 'slevin@gmail.com';                 
    $mail->Password = 'secret';                           
    $mail->SMTPSecure = 'ssl';                            
    $mail->Port = 465;                                    

    //Recipients
    $mail->setFrom('slevin@gmail.com');
    $mail->addAddress('jacob@gmail.com');     


    //Content
    $mail->isHTML(true);                                 
    $mail->Subject = 'subject';
    $mail->Body    = 'HTML message body <b>in bold!</b>';
    $mail->AltBody = 'body in plain text';

    $mail->send();
    echo 'Message has been sent';
 catch (Exception $e) 
    echo 'Message could not be sent.';
    echo 'Mailer Error: ' . $mail->ErrorInfo;
            
?>

更新

当我尝试使用 $mail->SMTPSecure = 'ssl'; 和 $mail->Port = 465; 时，我得到了

2017-10-01 13:04:25 Connection: opening to ssl://smtp.gmail.com:465, timeout=300, options=array()
2017-10-01 13:04:26 Connection failed. Error #2: stream_socket_client(): SSL operation failed with code 1. OpenSSL Error messages:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed [C:\php\PHPMailer\src\SMTP.php line 324]
2017-10-01 13:04:26 Connection failed. Error #2: stream_socket_client(): Failed to enable crypto [C:\php\PHPMailer\src\SMTP.php line 324]
2017-10-01 13:04:26 Connection failed. Error #2: stream_socket_client(): unable to connect to ssl://smtp.gmail.com:465 (Unknown error) [C:\php\PHPMailer\src\SMTP.php line 324]
2017-10-01 13:04:26 SMTP ERROR: Failed to connect to server: (0)
SMTP connect() failed. https://github.com/PHPMailer/PHPMailer/wiki/Troubleshooting
Message could not be sent.Mailer Error: SMTP connect() failed. https://github.com/PHPMailer/PHPMailer/wiki/Troubleshooting

当我尝试使用 $mail->SMTPSecure = 'tls'; 和 $mail->Port = 587; 时，我得到了

2017-10-01 13:07:20 Connection: opening to smtp.gmail.com:587, timeout=300, options=array()
2017-10-01 13:07:21 Connection: opened
2017-10-01 13:07:21 SERVER -> CLIENT: 220 smtp.gmail.com ESMTP l4sm5217189wrb.74 - gsmtp
2017-10-01 13:07:21 CLIENT -> SERVER: EHLO localhost
2017-10-01 13:07:21 SERVER -> CLIENT: 250-smtp.gmail.com at your service, [85.75.196.114]250-SIZE 35882577250-8BITMIME250-STARTTLS250-ENHANCEDSTATUSCODES250-PIPELINING250 SMTPUTF8
2017-10-01 13:07:21 CLIENT -> SERVER: STARTTLS
2017-10-01 13:07:21 SERVER -> CLIENT: 220 2.0.0 Ready to start TLS
2017-10-01 13:07:21 Connection failed. Error #2: stream_socket_enable_crypto(): SSL operation failed with code 1. OpenSSL Error messages:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed [C:\php\PHPMailer\src\SMTP.php line 403]
SMTP Error: Could not connect to SMTP host.
2017-10-01 13:07:21 CLIENT -> SERVER: QUIT
2017-10-01 13:07:21 SERVER -> CLIENT: 
2017-10-01 13:07:21 SMTP ERROR: QUIT command failed: 
2017-10-01 13:07:21 Connection: closed
SMTP Error: Could not connect to SMTP host.
Message could not be sent.Mailer Error: SMTP Error: Could not connect to SMTP host.

【问题讨论】：

fsockopen 只是打开一个 TCP 连接，它不进行 TLS 握手，所以这并不能告诉你任何事情。使用SMTPSecure = 'tls' 和端口 587 可能会在调试输出中显示更多反馈。

@Synchro 我按照你说的做了，现在我得到了Error #2: stream_socket_enable_crypto(): SSL operation failed with code 1. OpenSSL Error messages:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed ，然后是SMTP Error: Could not connect to SMTP host.。我是初学者。让我感到困惑的是，我的 SSL 配置和证书看起来不错，但我仍然遇到错误。也许我可以更新我的证书？谢谢。

显示调试输出中的内容，而不仅仅是最终的错误消息。

@Synchro 检查问题中的更新。

好的，这至少表明您没有被重定向到其他地方。我建议使用 openssl（如故障排除指南中所述）检查您的 CA 证书文件是否正常工作 - Google 不会发布无效证书。

【参考方案1】：

刚刚收到同样的错误信息，也许你遇到了同样的问题：

我的证书很好（我可以毫无问题地访问 HTTPS 域） 无法通过 PHP 的 stream_context_create 和 stream_socket_client 运行相同的请求 我想要检查 SSL 证书

通过返回的 cURL 测试同一个域：

curl: (60) SSL certificate problem: certificate is not yet valid

原来我在其中运行 PHP 和 cURL 的虚拟机出现了 11 天的错误（12 月 11 日而不是 12 月 22 日）。

通过修复计算机/虚拟机的日期（使用ntp、ntpdate-debian 等），证书测试现在可以在 cURL 命令行或 PHP 中正常运行。 p>

【讨论】：

是的，这就是我刚才的问题。 Homestead 的这个问题每天都让我发疯：github.com/laravel/homestead/issues/799 通常症状是不同的。我以前没有遇到过这个特别的错误，但你说得对，同步时钟修复了它。

【参考方案2】：

我最近在一个新的 Windows IIS 服务器上遇到了这个问题。 cURL 调用是从批处理脚本到我自己的域的，这两个脚本都在同一台服务器上运行。

我已经添加了

127.0.0.1  mydomain.com

到 hosts 文件，我在更改公共 DNS 时忘记将其删除。

服务器位于 Cloudflare 后面，因此我的 cURL 获得的是 CF 原始证书，而不是 Cloudflare 提供的真正证书。

删除 hosts 条目即可解决问题。