使用了不可信的证书
证书由正规机构签发,拥有完整证书链,并且根证书在系统和浏览器中可信。证书签发过程可查,可追踪。
怎么解决证书不可信?
申请或购买正规证书提供商的证书。
证书链不完整
证书与上级签发证书组成的可信链,是浏览器检查网站是否可信的关键,不完整的证书链有一定概率导致浏览器判定网站为不可信。
怎么解决证书链不完整?
证书链下载 https://myssl.com/chain_download.html
输入域名或者上传证书文件,下载补全的证书链信息
使用了Symantec旧PKI平台在2016年6月1日前签发的证书
关于Symantec旧平台签发的证书升级提示说明 https://blog.myssl.com/symantec-update-tip/
使用了不符合CT政策的证书
Chrome 证书透明度(CT)相关政策 https://blog.myssl.com/chrome-certificates-transparency-ct-policy/
Apple 证书透明度(CT)相关政策 https://blog.myssl.com/apple-ct-policy/
怎么解决不符合 CT 政策?
申请或购买符合 CT 政策的证书提供商的证书
证书公钥长度低于2048位
使用位数较于 2048 的公钥,有一定几率被攻击者破解,影响网站安全。
怎么解决低于2048位的公钥?
到正规证书提供商申请证书,并使用密码强度较高和长度大于等于2048位的密钥算法。
证书使用MD5签名算法
证书使用MD5 签名容易被攻击者破解,影响网站安全。
如何申请安全证书?
到正规证书提供商申请证书,并使用签名强度较高的算法。
服务器证书使用SHA1弱签名算法
证书使用SHA1签名容易被攻击者破解,影响网站安全。
如何申请安全证书?
到正规证书提供商申请证书,并使用签名强度较高的算法。
证书被吊销
常见吊销原因有:
- 网站私钥泄漏
- 不合规签发的证书
怎么解决证书吊销?
到正规证书提供商询问吊销原因并重新申请证书。