介绍
近年来 HTTPS 采用率迅速增加(Google提供了 透明度报告 这样可以更直观地显示此进度)。 HTTPS使用SSL /TLS 证书来保护数据,并且是针对网络威胁的最重要的浏览器安全机制之一。 Web行业现在正在鼓励(或要求)HTTPS代替不安全的HTTP。
但是,这种增加的安全性不可避免地增加了浏览器用户和Web服务器管理员的操作复杂性。 HTTPS依赖于可能会失败并产生模糊错误消息的组件。
此外,安全警告不一定表示服务器或浏览器受到攻击。 过期,吊销或配置错误的证书也会产生类似的消息。 因此,即使忽略安全错误消息可能非常危险,许多用户仍可能感到困惑(或烦恼)并忽略HTTPS错误。 (实际上,浏览器提供商使安全警告越来越难以绕开。)
管理员面临的另一个问题是,他们的网站向访问者连续显示安全警告可能会对网站的声誉产生负面影响。 站点管理员必须迅速调查并解决所有潜在问题。
为了解决这个问题,我们将研究一些最常见的HTTPS错误警告,解释它们的含义,并建议管理员如何纠正它们。
“不信任此网站”
SSL /TLS 证书通常由称为 证书颁发机构或CA。 CA(例如 SSL.com)以密码对他们颁发的每个证书进行签名。 这使浏览器可以确认特定网站的证书是由受信任的CA(已经添加到浏览器的证书存储区)颁发的。
“不可信”错误表示Web服务器提供了一个证书,该证书使用浏览器无法识别的数字签名进行了签名。 浏览器将在两种情况下显示此错误消息:
- 服务器使用了不受信任的服务器 自签名 证书,或
- 服务器上的证书安装失败,因此浏览器无法正确验证其真实性。
自签名证书与普通证书一样,但是由Web服务器管理员在本地创建,而不是由受信任的CA创建。 此类证书可能用于内部URL,静态页面或低流量网站。
由于自签名证书未链接到受信任的CA,因此浏览器不会自动信任它们。 用户必须先手动绕过安全警告(通常是通过告诉浏览器“信任”自签名证书),然后才能访问站点。 该过程因浏览器而异,除非您确切知道谁颁发了不受信任的证书(以及原因),否则我们建议您避免绕过此类警告
第二种情况是安装失败(或安装不正确)时发生的。 常见的情况是在执行安装时遗漏了中间证书,也称为证书链。 这打破了从CA到网站证书的信任链,因此浏览器无法将证书识别为受信任的证书,并向访问者显示此错误。
收到“不可信”错误时,请考虑正在访问的页面。 一个高流量页面或一个处理敏感用户信息(例如信用卡,账单地址等)的页面极不可能使用自签名证书。
因此,这可能是以下两种可能性之一:服务器(或连接)被劫持(攻击者用自己的证书替换了原始证书),或者管理员试图更新服务器证书并在此过程中某处失败。
出于谨慎的考虑,我们建议用户在解决基本问题之前避免使用任何显示此错误的网站。
如何解决“不信任”错误
不建议将自签名证书用于外部或面向Internet的页面,例如登录页面或客户结帐。 实际上,大多数标准和认证文档(例如PCI-DSS)都要求对此类敏感操作使用经过认可的CA正确签名的证书。
如果您从CA购买了证书,但仍然遇到此错误,则应验证安装没有产生任何错误,并且已正确执行了步骤。 如果那没有帮助,则应联系颁发CA以获得进一步的帮助。
“您的连接不安全”
一些浏览器可能会指出该连接是“非私有”而不是“不安全”的,但是它们都涉及相同的问题:无法验证服务器证书。 在这里,浏览器将终止与网站的连接,并显示此错误消息。 证书被吊销或过期时将无法通过验证。
可以出于多种原因撤销数字证书,并且受信任的CA维护服务以公开显示其撤销的证书。 (这些包括 证书吊销列表s(CRL)和 在线证书状态协议 (OCSP)响应者。)浏览器在信任证书之前会先咨询这些服务。 绊倒吊销证书的用户应避免使用该网站,因为这意味着其连接可能会受到损害。
SSL证书也自然会在一段时间后过期,并且必须进行续订。 这有助于确保定期检查所有凭据,从而合理保证证书覆盖了由合法所有者而非恶意攻击者控制的服务器。
如何解决“不安全”错误
我们建议您在证书过期之前对其进行续订,以避免此错误。 SSL.com 客户可以使用我们的集成到期警报服务来警告即将到来的证书到期。
“混合内容”
混合内容警告是指通过HTTP检索的HTTPS网站的组件。 常见的示例包括远程图像,脚本或任何不安全地传输的元素(即使在同一服务器上)。
攻击者可以利用不安全的HTTP连接来破坏访问者的浏览器(甚至计算机)。 尽管存在明显的风险,但许多网站仍使用HTTP来检索远程组件。 为了警告用户不要混合内容连接,浏览器将显示否定的安全指示符。
用户应尽可能避免所有此类连接,但不幸的是,许多合法的网站尚未解决此问题。 因此,在选择访问显示混合内容警告的网站时,我们建议谨慎使用并做出良好判断。
如何解决“混合内容”警告:
管理员应在其网站的源代码中搜索以开头的URL http://。 要阻止浏览器显示混合内容警告,请用HTTPS替换所有HTTP URL(即,它们应以 https://)指向相同资源的网址。 以下片段显示了一个示例:
应更改为:
如果远程服务器已经支持HTTPS,则只需在源代码中更改URL。 但是,如果您无法控制远程服务器,则必须与控制该服务器的第三方进行协商,或者找到具有HTTPS支持的其他服务来消除此警告。
“名称不匹配”
当服务器为另一个域名提供数字证书时,浏览器将显示此错误消息。 发生这种情况的原因是证书域错误(例如,请求证书 domain.org 而不是 domain.com)在证书购买过程中,由于配置错误(出示另一份证书而不是预期的证书),或者由于该证书无法涵盖该网站中使用的多个域或子域。
如何解决“名称不匹配”错误
如果域拼写不正确,则应联系发行CA,以寻求可能的解决方案。
通过更新站点以使用正确的证书,可以解决配置错误。
最后,如果要管理包含多个域(或子域)的网站,请考虑使用 主题备用名称(SAN)证书 而不是几个单独的证书。 单个SAN证书可以保护数百个不同的域,甚至可以保护通配域(例如, *.ssl.com) 除了被 比多个证书更容易管理和维护(更不用说在您的皮夹上更容易了)。
结论
有人可能会认为HTTPS是一个黑匣子,但实际上它是一组相互连接的组件,必须协调工作才能使其有效。 我们描述的警告消息是Internet中令人讨厌但至关重要的部分。 我们希望提供对这些消息的基本了解可以帮助确保用户安全并提高管理员效率。
感谢您选择SSL.com! 如有任何疑问,请通过电子邮件与我们联系 Support@SSL.com,致电 1-877-SSL-SECURE,或只需单击此页面右下方的聊天链接。
