SSL证书验证失败怎么办

当用户访问网站时，浏览器弹出“您的连接不是私密连接”或类似警告不仅会导致访客流失，还可能影响搜索引擎对网站的信任评级，SSL证书验证失败是站点运维中常见的问题，但绝大多数情况均可通过系统化的排查与修复解决，下文将为大家分析一些常见的原因和解决方法。

　一、浏览器错误提示

浏览器在阻止不安全连接时会显示具体的错误代码，SSL证书验证失败的原因可以根据代码来进行一个初步诊断：

NET::ERR_CERT_DATE_INVALID：表明证书已过期，或客户端系统时间设置不正确；

NET::ERR_CERT_COMMON_NAME_INVALID：表示证书中的域名与当前访问的域名不匹配；

SEC_ERROR_UNKNOWN_ISSUER或证书颁发机构无效：通常由证书链不完整或中间证书缺失引起；

混合内容警告：页面通过HTTPS加载，但引用了HTTP资源（如图片、脚本）。

　二、证书链不完整

SSL证书的信任机制基于一条完整的证书链：终端证书→中间证书→根证书，根证书内置于操作系统和浏览器中，中间证书需要由服务器管理员正确部署，如果只上传了终端证书而没有附带中间证书，浏览器就无法构建一条完整的信任路径，从而判定证书无效，可以使用SSL Server Test等在线工具对域名进行检测，如果报告中出现了证书链不完整或缺少中间证书等提示，就可以确定SSL证书验证失败是这个问题了。

解决方法：

下载包含中间证书文件的完整整数包，根据Web服务器的类型来进行配置，配置完成后重启Web服务：

Nginx：将域名证书与中间证书合并为一个文件（域名证书在前，中间证书在后），然后在配置中将ssl_certificate指向该合并文件。建议使用–fullchain-file参数申请证书，直接获取完整链。

Apache：在虚拟主机配置中使用SSLCertificateChainFile指令指定中间证书文件路径。

　三、域名不匹配

常见的域名不匹配情形包括：

1、无法覆盖二级子域名；

2、证书包含www前缀，而未对不带www的域名做301重定向。

解决方案：

1、更换合适类型的证书，若需保护多个不同域名，应选用多域名证书；若需保护同一主域名下的所有子域名，则应使用通配符证书。

2、实施301重定向，让所有流量统一指向证书所绑定的域名。

　四、其他SSL证书验证失败原因

1、证书过期

SSL证书具有有效期，过期后必须尽快续期，在安信证书选购SSL证书可享受免费的到期提醒服务。

2、使用自签名证书

自签名证书仅适用于测试环境，不被浏览器所信任，很容易导致验证失败，建议选择受信任CA签发的SSL证书。

2、混合内容问题

页面通过HTTPS加载，但其中引用的资源仍使用HTTP协议，可以将所有资源引用改为HTTPS链接。

SSL证书验证失败的情况比较常见，了解上述的几个原因，绝大多数SSL证书验证问题都能够得到解决，选择正规SSL证书服务商可提供免费安装、售后技术支持、到期提醒等服务，能够有效避免这一问题发生。

相关推荐：《SSL握手是什么？SSL握手失败解决方法》