Brudt SSL /TLS certifikatkæder fra manglende mellemprodukter kan forårsage tillidsfejl. Lær, hvordan du diagnosticerer og ordner dem ved at installere en komplet kæde.
Fejl i browsertillid
Hvis du har installeret en ny SSL /TLS certifikat på din webserver, men besøgende oplever fejl i browsertillid som f.eks Not Secure eller Your Connection Is Not Private, skal du sørge for, at en komplet mellemliggende certifikatkæde er installeret. I Google Chrome er en almindelig fejlmeddelelse af denne type NET::ERR_CERT_AUTHORITY_INVALID.
Alle følgende browserfejl skyldtes installation af et gyldigt certifikat, men med en brudt kæde forårsaget af manglende mellemliggende certifikater:
Not Secure tillidsadvarsel
NET::ERR_CERT_AUTHORITY_INVALID tillid advarsel i Chrome browservindue.
This Connection Is Not Private.
For flere eksempler på browserfejlmeddelelser* som følge af manglende mellemliggende certifikater, se venligst vores vejledning om Fejlfinding af SSL /TLS Browserfejl og advarsler.
Derudover gemmer Firefox mellemliggende certifikater i sit eget certifikatlager. Hvis du tidligere har besøgt et websted, der indeholdt mellemliggende certifikater, der manglede på din server, vil Firefox bruge dem til at lave en komplet certifikatkæde når det er nødvendigt. Denne forbedrede funktionsmåde betyder, at Firefox-brugere oplever færre fejl i certifikatkæden sammenlignet med andre browsere.
*Fejlmeddelelser og viste browsergrænseflader kan variere en smule på tværs af forskellige browserversioner og operativsystemer. De grundlæggende symptomer på manglende mellemliggende certifikater forbliver ensartede på tværs af alle platforme.
Diagnostisering af problemet
Diagnostiske værktøjer og metoder
Du kan kontrollere for manglende mellemliggende certifikater ved hjælp af flere metoder:
- Online SSL-tjekkere
- SSL-kundens SSL-tjekker forbliver et fremragende værktøj til at identificere manglende mellemprodukter. Skærmbilledet nedenfor viser den situation, der forårsagede de ovenfor viste fejl. Moderne SSL-kontrolværktøjer giver omfattende analyser, herunder kædens fuldstændighed, udløbsdatoer, validering af udvidet nøglebrug og kompatibilitet med aktuelle browserkrav.
- Moderne SSL-testværktøjer tjekker også for kommende udløbsdatoer og problemer med udvidet nøglebrug.
Browserudviklerværktøjer
De fleste browsere tilbyder nu forbedrede certifikatinspektionsfunktioner via deres udviklerkonsoller. I Chrome, Firefox og Safari kan du få adgang til detaljerede oplysninger om certifikatkæden ved at:
- Klik på låseikonet i adresselinjen
- Valg af "Certifikat" eller "Forbindelsen er sikker"
- Visning af den komplette certifikatkæde og gyldighedsoplysninger
Kommandolinjeværktøjer
For serveradministratorer tilbyder OpenSSL omfattende analyse af certifikatkæden:
openssl s_client -connect example.com:443 -showcerts
openssl s_client -connect example.com:443 -showcerts
Forståelse af ændringer i certifikatgyldighed
SSL /TLS Certifikatlandskabet har udviklet sig markant i de senere år, med vigtige ændringer, der påvirker certifikaternes levetid og brug:
Forkortede certifikatlevetider
Siden september 2020 har større browsere ikke længere tillid til SSL/TLS Certifikater med gyldighedsperioder på mere end 398 dage (ca. et år). CA/Browser Forum har vedtaget en faseopdelt tidsplan (Stemmeseddel SC-081v3) for at reducere maksimum TLS certifikatlevetid: 200 dage for certifikater udstedt den/efter 15. marts 2026, 100 dage den/efter den 15. marts 2027, og 47 dage den/efter den 15. marts 2029.
Disse ændringer nødvendiggør implementering af robuste systemer til certifikatstyring og automatisering.
Udvidede begrænsninger for nøglebrug
Politik for Chromes rodprogram kræver, at man begynder 15. Juni, 2026, nyligt udstedt offentligt betroet TLS servercertifikater omfatter kun og serverAuth EKU (nr klientAuth).
Store CA'er tilpasser sig forud for denne dato. Hvis du har brug for det TLS klientgodkendelse, brug adskille klientgodkendelsescertifikater fra et privat eller dedikeret hierarki. Organisationer, der bruger certifikater til begge formål, skal bruge separate certifikater for hver funktion.
Løsning af problemet
Når du henter dit certifikat fra din SSL.com-brugerkonto ved hjælp af linket til din serverplatform, modtager du en zippet fil, der inkluderer både certifikatet og eventuelle nødvendige understøttende filer. Hvis du kun ønsker at downloade mellemcertifikater, kan du også bruge CA-bundt download link.
Installation af mellemprodukter varierer efter serverplatform. For specifikke instruktioner om, hvordan du installerer de påkrævede mellemliggende certifikater på din server og oprettes en komplet kæde, se vores dokumentation for certifikatinstallation.
Indvirkning på installationen
Når du downloader certifikater fra din SSL.com-konto, skal du sørge for at bruge de nyeste mellemliggende certifikater. Downloadlinket til CA-pakken på din konto vil altid give dig de korrekte og opdaterede mellemliggende certifikater til din installation.
Bedste praksis for moderne installation
Automatisering er essentielt: Med aftagende certifikatlevetid bliver manuel certifikatadministration stadig mere upraktisk. Overvej at implementere:
- Automatiserede systemer til fornyelse af certifikater (ACME-protokol klienter)
- Certifikatets livscyklus styringsværktøjer
- Overvågningssystemer den advarsel før certifikatudløb
Platformovervejelser:
- Mange hostingudbydere og CDN'er administrerer nu automatisk installation af mellemliggende certifikater
- Cloudplatforme tilbyder ofte integrerede certifikatadministrationstjenester
- For installationer på stedet skal du sørge for, at din fornyelsesproces inkluderer mellemliggende certifikatopdateringer
Bekræftelsestrin – Bekræft altid din komplette certifikatkæde efter installation:
- Test fra flere browsere og enheder
- Brug SSL-tjekværktøjer til at bekræfte kædens fuldstændighed
- Bekræft, at certifikaternes gyldighedsperioder stemmer overens med din fornyelsesplan
- Kontroller, at certifikater kun indeholder passende værdier for udvidet nøglebrug
Bekræft rettelsen
Med alle understøttende certifikater installeret på den samme server, der producerede de "ikke tillid til" fejl vist ovenfor, SSL-kontrol viser en komplet kæde, og browserens tillidsfejl er væk:
Fremtidssikring af din certifikathåndtering
Forbered dig på kortere livscyklusser
- Implementer automatiserede certifikatstyringssystemer, inden den 47-dages gyldighedsperiode træder i kraft i 2029
- Etabler overvågning og alarmering ved certifikatudløb
- Overvej at bruge ACME-kompatible certifikatmyndigheder til problemfri automatisering
Separate godkendelsestyper
- Planlæg at adskille servergodkendelses- og klientgodkendelsescertifikater
- Gennemgå den nuværende certifikatbrug for at identificere certifikater med blandet brug
- Implementer dedikeret PKI hierarkier til forskellige certifikatformål
Overvågning og vedligeholdelse
- Regelmæssige revisioner af certifikatbeholdninger på tværs af din infrastruktur
- Automatiseret test af certifikatkædens fuldstændighed
- Dokumentation af certifikatafhængigheder og fornyelsesprocedurer
Tendensen mod kortere certifikatlevetider og strengere brugskrav understreger den afgørende betydning af korrekt installation af mellemliggende certifikater og omfattende styring af certifikatlivscyklussen.
Korrekt installation af mellemliggende certifikater er fortsat fundamental for SSL/TLS sikkerhed; landskabet udvikler sig dog fortsat med kortere certifikatlevetider og strengere browserkrav.
Ved at følge aktuelle bedste praksisser, implementere passende automatisering og holde dig informeret om ændringer i branchen, kan du sikre, at dine certifikater giver pålidelig sikkerhed for dine brugere.
For de seneste instruktioner til installation af certifikater og mellemliggende certifikatpakker skal du altid se dokumentationen og downloadlinkene i din SSL.com-konto, da disse regelmæssigt opdateres for at afspejle de seneste krav og CA-ændringer.
Søg Brug for hjælp SSL.coms supportteam holder sig opdateret med alle brancheændringer og kan hjælpe med installation af certifikater, kædekonfiguration og forberedelse til kommende krav. Kontakt os på Support@SSL.com eller brug chatfunktionen nederst til højre på denne side.
