TLS/SSL 协议详解 (26) https访问告警问题总结

本文所述的前提是服务器发过来的是受信证书，若是其本身不受信证书，例如自建证书，那浏览器告警就正常。

常见问题1：ie不告警、但是火狐告警；安卓不告警但是ios告警

原因（1）：

一般时由于使用了“便宜”的证书导致，例如证书链如下

root->ca1->ca2->user

服务器只发送了ca2+user，如果客户端只有root证书，就会告警，如果客户端有root+ca1，则不会告警。

解决方法：服务器导入ca1+ca2+user，实在不放心，把root证书也一并导入。

原因（2）：浏览器不支持对应加密套件。

解决方法：更改服务器加密套件，使用安全程度更高的加密套件。

原因（3）：证书密钥长度太短。

解决方法：更换证书，RSA密钥长度变成 2048及其以上长度的证书。

原因（4）：证书时间过期。

解决方法：更换证书。

原因（5）：证书名字和浏览器访问的host不对应。

例如服务器ip地址对应多个域名，例如www.1.com和www.2.com，而服务器证书的CN是www.1.com

如果浏览器通过www.1.com访问，然后收到www.1.com证书，那么正常。如果通过www.2.com访问收到www.1.com证书，则会失败。认为服务器不拥有该证书，提示告警。

解决方法：服务器配置多域名证书或者服务器开启SNI，然后配置多个证书。

原因（6）：服务器资源里面有http内容。

一般ie提示：内容不安全，chrome地址栏会出现标识。

解决方法：改服务器。

其他原因

解决方法：卸载ie。