SSL证书常见错误姿势分析

简介

又拍云提供了免费申请证书的方案，用户可通过 SSL 证书服务平台，免费申请 Symantec、Let’s Encrypt 的 DV SSL 证书，帮助用户零成本实现全站部署 HTTPS。并且还实现了 Let’s Encrypt 证书到期自动续签，用户无需担心证书过期时间，降低维护成本。同时也支持自有证书上传和付费证书（即将上线). 下面总结一下SSL证书常见错误姿势：

1.证书申请失败原因

域名所有区域全部 CNAME 到又拍云平台，否则有可能导致证书申请失败

申请 TrustAsia DV SSL 证书时，域名会经过 Symantec CA 机构安全审核，如果审核未通过，原因如下：

DV SSL 证书的申请，无需人工介入，由 CA 机构服务器自动认证快速签发，因此某些 CA 机构会根据其反钓鱼机制，采用较为严格的敏感词来加强审核标准，例如域名中包含 bank、trust 等，都会引起域名审核失败，敏感词的定义由 CA 机构自身规定。

排除以上原因，如果还证书申请失败，建议可多次尝试重新提交申请，如多次都未申请成功，则可提交工单寻求帮助。

目前只支持单一域名的申请，不支持泛域名申请，不支持带下划线 _ 的域名申请

2.CDN使用证书以后，访问站点提示“连接不安全”

因为采用https协议的站点如果网页中包含未经加密的http内容时，会被浏览器认为是不安全的；需要全站使用https协议。

3.CDN使用证书以后，出现错误“此证书是由未知颁发机构签名的” “网站证书已过期和不可信”

在浏览器端访问https正常但在部分手机终端访问提示不安全，

由于证书链不完整，证书链路检测可以通过openssl检测：openssl s_client -connect www.a.com:443 -servername www.a.com -showcerts

客户端不支持SNI，常见浏览器支持 SNI 的最低版本：

浏览器最低版本

ChromeVista+ 全支持；XP 需要 Chrome 6+；OSX 10.5.7+ 且 Chrome 5+

Firefox2.0+

Internet Explorer7+ (需要 Vista+)

Safari3+ (需要 OS X 10.5.6+)

Mobile SafariiOS 4.0+

Android Webview3.0+

检查系统时间，如果用户电脑时间不对，也会导致浏览器提示证书有问题，这时浏览器一般都会有明确的提示，例如 Chrome 的 ERR_CERT_DATE_INVALID