SSL证书无效的原因

SSL证书通过在客户端浏览器和web浏览器之间建立一条SSL安全通道（Secure socket layer(SSL)，对传送的数据进行加密和隐藏；确保数据在传送中不被改变，保证数据的完整性，现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中，实现数据信息在客户端和服务器之间的加密传输，可以防止数据信息的泄露，保证了双方传递信息的安全性，而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。

那为什么还有那么多无效的SSL证书呢，小编为大家分析了如下几个原因：

1、域名覆盖范围不足

在少数场合下，网站管理员购买并部署了SSL证书，但是SSL证书中没有包含全部的网站域名。例如，你在WWW.inhv.cn上运行了一个网站，证书可能包括这个域名以及inhv.cn。如果网站还有其他的域名，证书中也需要包含那些域名，这点通配符证书/多域名SSL证书可以做到。

2、自签名证书和私有CA

自签名SSL证书以及私有CA签发的证书不适合在公开场合使用。这类证书无法简单并可靠地与中间人攻击的证书区分开。在我的调查中，大约48%的无效证书是因为这个原因。

3、过期的SSL证书

另外一个无效证书产生的重要原因是过期。在很多情况下，网站的管理员忘记去续签证书，或者放弃了取得有效证书的想法，但是并没有将老的证书下线。

4、错误的配置

另外一个常见的问题是错误的配置。为了让一张证书受到信任，每个浏览器都需要建立起一条信任链，从服务器证书到一个可信任的根证书。服务器需要提供除了根证书之外的整个信任链，但是根据 SSL Pulse的数据，大约6%的服务器证书链不完整。在某些情况下，浏览器可以对此作出变通，但是通常它们并不会这样做。

上一篇：有哪些推荐CA机构的SSL证书？

下一篇：HTTPS加密可以解决什么问题？