证书相关问题以及修复建议

使用了不可信的证书

证书由正规机构签发,拥有完整证书链,并且根证书在系统和浏览器中可信。证书签发过程可查,可追踪。

怎么解决证书不可信?

申请或购买正规证书提供商的证书。

证书链不完整

证书与上级签发证书组成的可信链,是浏览器检查网站是否可信的关键,不完整的证书链有一定概率导致浏览器判定网站为不可信。

怎么解决证书链不完整?

证书链下载  https://myssl.com/chain_download.html

输入域名或者上传证书文件,下载补全的证书链信息

使用了Symantec旧PKI平台在2016年6月1日前签发的证书

关于Symantec旧平台签发的证书升级提示说明 https://blog.myssl.com/symantec-update-tip/

使用了不符合CT政策的证书

Chrome 证书透明度(CT)相关政策 https://blog.myssl.com/chrome-certificates-transparency-ct-policy/

Apple 证书透明度(CT)相关政策 https://blog.myssl.com/apple-ct-policy/

怎么解决不符合 CT 政策?

申请或购买符合 CT 政策的证书提供商的证书

证书公钥长度低于2048位

使用位数较于 2048 的公钥,有一定几率被攻击者破解,影响网站安全。

怎么解决低于2048位的公钥?

到正规证书提供商申请证书,并使用密码强度较高和长度大于等于2048位的密钥算法。

证书使用MD5签名算法

证书使用MD5 签名容易被攻击者破解,影响网站安全。

如何申请安全证书?

到正规证书提供商申请证书,并使用签名强度较高的算法。

服务器证书使用SHA1弱签名算法

证书使用SHA1签名容易被攻击者破解,影响网站安全。

如何申请安全证书?

到正规证书提供商申请证书,并使用签名强度较高的算法。

证书被吊销

常见吊销原因有:

  • 网站私钥泄漏
  • 不合规签发的证书

怎么解决证书吊销?

到正规证书提供商询问吊销原因并重新申请证书。