中间/链证书的SSL证书错误

Posted 2021-03-28

发现一个使用合法证书的网站（由thawte签名），但所有浏览器都会拒绝。我不明白为什么。由thawte支持告诉我，一个域有两个证书，并发给我这个https://www.sslshopper[dot]com/ssl-checker.html?hostname=donaubuero.de。谁能解释一下为什么解冻之上的证书链被打破了？为什么donaubuero [dot] de的证书无效？

谢谢

答案

在您的Web服务器上，您需要同时安装站点证书和证书链，这些证书将证书链接到浏览器中的根证书。

链证书应由SSL提供商提供。

怎么做，你需要检查你的Web服务器文档。有时您只需添加SSL配置，有时您需要将其与您的站点证书链接。

附录：

您有证书，可能是由3级证书签署的。但是有许多3级证书（良好的安全实践“要求”这些证书经常更新[3级CA签名自动证书，根CA离线存储，很少，并且以更加可控的方式，他们签署一个2级证书]。因此浏览器无法存储所有3级证书。

因此，协议要求您还提供从根到证书的链。因此浏览器检查root是否可信（通过浏览器）并检查以前级别的证书是否信任各种级别。通过这种方式，他将知道您的证书是值得信任的。

链中的顺序很重要，SSL的一些实现需要链加上站点证书（作为两个文件，例如Apache），但其他需要完整的链（链附加到站点证书，因此一个文件，许多电子邮件服务器） ）。在某些浏览器中，链中的证书顺序很重要（移动浏览器更挑剔）。

这个网站有一个更好的解释然后我的帖子：https://support.dnsimple.com/articles/what-is-ssl-certificate-chain/