SSL错误无法建立安全连接怎么解决
当浏览器提示网站无法建立安全连接或提示连接不是私密连接时,就说明大概率是SSL握手过程出了问题,这类错误的表现形式是多种多样的,既有SSL证书端的问题也有服务器配置的问题,下文将为大家介绍一些SSL错误无法建立安全连接的常见原因和解决方法。
一、SSL错误无法建立安全连接常见类型
发生了SSL错误最常见的代码主要有以下几种:
| 错误代码 | 含义 | 常见原因 |
| ERR_SSL_PROTOCOL_ERROR | SSL/TLS协议协商失败 | 服务器仅支持老旧TLS版本、QUIC协议干扰 |
| ERR_CERT_DATE_INVALID | 证书日期无效 | 证书已过期或客户端系统时间错误 |
| ERR_CERT_COMMON_NAME_INVALID | 证书域名不匹配 | 访问的域名与证书绑定的域名不一致 |
| NET::ERR_CERT_AUTHORITY_INVALID | 证书颁发机构不受信任 | 使用自签名证书或非权威CA签发的证书 |
二、SSL错误无法建立安全连接的怎么解决
1、证书已过期
SSL证书过期后浏览器会直接阻断访问并给予警告提示,最好的解决方法就是即时续费或重新申请证书,SSL证书过期后需要重新申请一张全新的证书来替换,可在安信证书等专业平台续费,平台也会在证书到期前提供多次提醒,最大程度保障证书不会因遗忘而过期。
2、证书域名不匹配
当证书绑定的域名与浏览器地址栏中的域名不一致时,浏览器也会弹出错误警告,可以对域名进行排查和比对,保证所有访问入口的域名都在证书覆盖范围内,如果有很多个子域名需要保护,可以使用通配符证书来解决问题,避免了重复购买带来的成本与运维负担。
3、自签名证书或不受信任的CA机构
自签名证书、免费证书经常会导致浏览器报错,尤其是自签名证书没有经过权威CA机构的第三方身份验证,浏览器会认定为不可信,免费证书也缺乏企业身份验证,建议选购由权威CA签发且受浏览器内置信任的SSL证书,推荐速安信(AnTrust)、GeoTrust、Sectigo、RapidSSL、DigiCert等品牌。
4、中间证书链没有完整部署
安装证书时如果只部署了站点证书而遗漏了中间证书,浏览器也会判定证书无效或不可信,可以使用SSL Labs的SSL Server Test工具输入域名检测证书链的完整性,中间证书通常为CA Bundle文件,如果确实遗漏,可以将站点证书文件与CA Bundle文件拼接成一个完整的.pem文件,修正ssl_certificate指令路径后重启Nginx使配置生效。
5、TLS协议版本与加密套件不兼容
服务器仅开启了TLS 1.0/1.1等老旧协议,现代浏览器如果已经废弃了这些版本,就会出现SSL错误,还是以Nginx为例,可指定安全的协议版本ssl_protocols TLSv1.2 TLSv1.3;。禁用已不安全的TLS 1.0和1.1,重启服务后再刷新网页测试。
一旦出现SSL错误无法建立安全连接时,可先确认一下是不是本地系统时间或缓存的问题,然后再检查证书是否过期、域名是否匹配,最后再看服务器端的证书链完整性和TLS协议配置,如果排查后发现证书需要续费或重新申请,可在安信证书一站式完成,提供免费安装部署、无限次免费重签、到期提醒等服务,从选型到部署全程协助。
相关推荐:《SSL证书过期有什么影响》
