展开

关键词

5大导致SSL证书不被信任的原因

因为大部分客户都不了解这些,购买了证书后安装使用都会出现”不信任”的问题。下面就是总结常见的5中导致SSL证书不信任的原因。 1.SSL证书不是来自公认的证书颁发机构(CA) 我们但凡了解过SSL证书的朋友都明白,我们自己就可以给自己颁发数字证书(SSL证书、邮件证书、客户证书、代码证书等),自己签发的证书不需要一分钱。 然而自签发的数字证书默认是不受到客户操作系统信任的,所以他们访问我们的站点的时候就会提示不信任。 另一方面,公认的证书颁发机构的CA证书就是默认内置在我们的操作系统或者浏览器当中的,也就是客户操作系统默认信任的证书。 所以,我们首先需要购买可信的证书颁发机构颁发的数字证书,这一点很重要。 他们都选择用自己的二级证书进行颁发客户证书,比如你购买的EV SSL绿色地址栏证书,签发的证书链大概就如下图: |---Londry Root CA |---Londry EV SSL CA G2

2K100

Win2003证书服务配置客户(服务)证书申请IIS站点SSL设置

[原创图解]Win2003证书服务配置/客户(服务)证书申请/IIS站点SSL设置 --欢迎转载,但转载请注明来自“菩提树下的杨过” 一.CA证书服务器安装 1.安装证书服务之前要先安装IIS 客户证书的颁发   打开“管理工具”选择“证书颁发机构”,打开"挂起的申请",右击-->"颁发" 四。 客户证书的下载及安装 1.运行Internet Explorer浏览器,在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”,选择“查看挂起的证书申请状态” 2 IIS中服务器证书/SSL的设置 1。 还是先打开网站属性,切换到"目录安全性",点击"服务器证书" 2.安装服务器证书 选择刚才导出的cer文件 然后一路下一步,直到完成. 3.设置SSL 有了服务器证书后,IIS的相关站点,可以改用

76350
  • 广告
    关闭

    什么是世界上最好的编程语言?丨云托管征文活动

    代金券、腾讯视频VIP、QQ音乐VIP、QB、公仔等奖励等你来拿!

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    抓包定位业务首次响应为什么需要等待几十秒

    3 根因 基于以上测试结果,中国大陆使用HTTPS协议访问业务出现慢的情况,因CA OCSP Server IP地址被限制,客户长时间等待服务器的响应导致。 2.3.3.4 HTTP与HTTPS最大差异在SSL/TLS。 2.3.4.1.4 苹果手机内配置代理,手机所有访问互联网的请求全部经过电脑上的Charles抓包工具。 2 中国大陆网络无法访问OCSP Server,OCSP校验得不到响应,长时间等待校验结果,导致业务打开页面慢。 3 OCSP Server 中国大陆为什么无法访问? 经测试得出IP被国际互联网限制导致中国大陆无法访问。 3 根治解决方案 3.1 证书替换,使用Symantec/GeoTrust/TrustAsia/GlobalSign上述厂商的证书

    2.4K133

    Android APP之WebView校验SSL证书的方法

    Android系统的碎片化很严重,并且手机日期不正确、手机证书异常、com.google.android.webview BUG等各种原因,都会导致WebViewClient无法访问HTTPS站点。 SSL错误的处理方式十分关键,如果处理不当,可能导致中间人攻击,黑客窃听数据,进而引发安全事故。   严谨地处理onReceivedSslError尤为重要。 请参考以下代码,原理是:如果webview报告SSL错误,程序将会对服务器证书进行强校验,如果服务器传入证书的指纹(sha256)与记录值一致,说明webview验证过程存在缺陷(如:手机日期错误、根证书被删除 等),忽略SSL错误;如果证书匹配失败,表明数据通信有问题,保留阻断。    在测试代码时,请将手机日期设置在证书有效期之前,判断WebView是否能正常访问HTTPS站点。

    2K10

    Nginx开启OCSP以解决Lets Encrypt证书被DNS污染访问缓慢

    困扰我许久,因为只有手机访问才这样,在电脑上访问速度都很快,完全没有头绪。 进行抓包,发现使用IE打开网站的时候,会去请求ocsp.int-x3.letsencrypt.org域名进行证书验证,该域名无法访问从而导致访问速度变慢; 12.png 所以问题就出在SSL证书上面,我使用的证书全部是 Let's Encrypt证书,其特点是免费、支持泛域名、并且脚本一键部署,但是Let's Encrypt证书的OCSP验证域名被DNS污染,无法解析到正确的IP地址,导致无法进行证书有效性验证。 (CA)发送请求 ssl_stapling on; # 启用或禁用服务器对OCSP响应的验证 ssl_stapling_verify on; # 证书的签发机构的ca证书,我的Let's Encrypt 是acme.sh自动获取的证书,ca证书目录为:/root/.acme.sh/ffis.me/ca.cer ssl_trusted_certificate /usr/local/nginx/conf/ssl

    19640

    通过OTA的方式在局域网分发iOS应用

    2.出于安全的考虑,Android和iOS的app只能通过V**的方式来访问服务器,而手机通过V**后是无法访问互联网的。 因此无法访问互联网的相关HTTPS的服务,换句话说就是无法使用互联网的SSL证书的web服务。 3、iOS的版本大于7.1的,因此apple的itms-services协议必须实用HTTPS。 自建OpenSSL证书 由于提供HTTPS的服务只能在局域网内部,因此SSL证书不能使用相关CA机构颁发的,且证书不是基于域名,是基于ip地址的,因此只能采用自制证书。 客户证书ca.crt可以通过下载或者email方式提供给iOS 设备安装,不过有一点要注意:由于这是自签名的SSL证书,是不可信任的,因此需要在iphone 或ipad 里手动设置信任证书。 安装完客户证书后,就可以通过iphone 或ipad的浏览器来访问提供itms-services协议链接的页面,下载和安装iOS的应用了。

    1.1K60

    Lets Encrypt 被DNS污染导致苹果手机访问速度慢,Nginx 可以开启 OCSP 解决

    困扰我许久,因为只有手机访问才这样,在电脑上访问速度都很快,完全没有头绪... ,会去请求ocsp.int-x3.letsencrypt.org域名进行证书验证,该域名无法访问从而导致访问速度变慢; 所以问题就出在SSL证书上面,我使用的证书全部是Let's Encrypt证书, 其特点是免费、支持泛域名、并且脚本一键部署,但是Let's Encrypt证书的OCSP验证域名被DNS污染,无法解析到正确的IP地址,导致无法进行证书有效性验证。 就是换个SSL证书!... 并且当OCSP响应缓存过期的时候并不会去主动更新,而是等待客户访问异步触发的更新; 这样就会导致总会有几次访问并没有走OCSP响应缓存从而导致还是会有访问速度缓慢的情况发生。

    25330

    记录Apche环境下手动配置和部署SSL证书的图文教程

    首先去申请SSL证书,这个就不写了,百度以下很多也可以参考本站之前发布的一篇文章《利用青云免费申请 Let's Encrypt 泛域名SSL证书》,申请之后我们下载到本地,部分服务商看你会给出具体环境所需类型 好了,证书下载完成后上传到服务器,目录需要记住,一会要用到,比如我把证书放在“/alidata/SSL/”目录下,接下来就可以配置相关文件了。 在服务器开启443端口,对应防火墙也需要开通,接下来找到网站配置文件,这个根据实际情况而定,以我本机为例“/usr/local/apache/conf/vhost/”,使用FTP或者SVN找到站点对应的文件 配置文件跟我在网上找的配置文件对比之后发现少了一段代码,如图: 是的,就是这个代码,其实这段代码在80端口已经存在了,不知道为什么还需要重写一遍,这就是导致开启ssl无法访问的原因所在,把代码粘贴到配置文件后果然可以访问了 ,好吧,不管是什么原因吧,总之目前来说已经解决了燃眉之急,记录到此告于段落,记住修改配置文件记得备份,配置文件尤为重要错了一点就可能导致网站无法访问

    10720

    HTTPS中间人攻击实践(原理·实践)

    ,如果您没有域名也可以用ip代替,不过证书还是要提前准备好) 这里用的是一个合法签发的DV证书(网上其实可以很容易找到免费的证书),一般浏览器或客户校验证书时,都会先检查证书是否是“受信任的根证书颁发机构 ”颁发,再检查SSL证书中的证书吊销列表,再检查检查此SSL证书是否过期,再检查SSL证书的网站的域名是否与当前访问域名一致。 前面我们也提到过了浏览器等客户会检查“受信任的根证书颁发机构”,证书吊销列表,SSL证书是否过期,证书签发的域名。 大部分应用出现了无法访问,弹出式安全提示等反应 不过不幸的是仍然有一些应用无视了证书的保护,直接与危险的中间人服务器建立了连接,并向用户正常的显示了页面等数据。 通过上面的实践可以看出我们平时使用的网络并不安全,部分开发者忽视证书校验,或对证书异常处理不当,导致本来十分有效LTS失去原本的防御能力。

    1K31

    部署SSL证书中的风险你知道吗?

    国内CA机构颁发SSL证书的风险:   目前,国内很多CA机构都在颁发SSL证书,但存在着一些问题,主要体现在以下几个方面。    数字证书按产品功能分,主要分为:用于服务器SSL证书、用于客户的个人证书和用于数字签名软件代码的代码签名证书。 而有些国内CA机构颁发的SSL证书类型居然是用于客户验证的个人证书,这会导致浏览器因无法识别正确的证书类型而无法实现SSL加密功能。   第四,证书主题不符合国际标准。 按照X.509证书标准格式规定, SSL证书主题信息中的“O”字段只能写SSL证书申请单位的名称,而绝对不能写成CA机构的名词,这不仅不符合证书标准规范,而且会给CA机构带来法律风险和给SSL证书申请单位带来品牌伤害和在线信任问题 如果连到美国的互联网线路中断,则用户无法访问位于美国的证书吊销列表,还是一样会影响到网银用户的正常使用!   其次,是中文单位名称问题。

    82171

    charles 手机证书下载安装

    SSL通用证书; 会导致HPPTS协议的域名抓取失败/乱码的现象; 现在SSL越来越多,很多博客都上了SSL,支付相关的行业更是基础配置; charles配置SSL证书,算起来很简单,操作简洁; 首先分析我们需要怎么做 第一步:电脑安装 Charles 的 CA 证书(必须) charles需要下载安装ssl/https证书,因为charles是作为中间的过滤器使用的,具体原理请查看 charles使用教程 这样你就可以访问 PC的https资源了,windows/MAC原理一样; 第二步:电脑上charles的SSL抓取设置(必须) charles并不是默认抓取ssl的,所以即使你安装完证书之后,Charles 默认也并不截取 Https的信息,你需要在SSL proxy里设置需要抓的域名; 当然如果你想抓取手机的HTTPS相关资源,还需要下面的第三步; (还不会手机抓包普通HTTP的,请点击 charles手机抓包设置 ) 第三步:手机安装SSL证书; 无论IOS/Android,都需要安装SSL证书,原理是手机SSL证书与电脑上charles SSL证书对接; ***************************

    1.1K30

    app抓包Charles安装之爬取微信小程序

    Charles是运行在PC的,我们要抓取的是App的数据,所以要在PC和手机都安装证书。 Windows 如果你的PC是Windows系统,可以按照下面的操作进行证书配置。 移动安装证书(重要) 移动同样也需要安装Charles证书,具体操作如下: 选择在移动安装证书选项,Charles提示如下: 提示需要设置手机http代理为电脑ip,端口为8888 ,然后在手机浏览器上访问 chls.pro/ssl 下载安装证书。 、完全信任、完全信任 导致!!! https加密的链接显示unknow 此问题遇到的可能性最大,导致的原因很多, 最有可能的原因在于证书的问题,证书未能正确安装,查看手机上是否始终信任证书!!

    32240

    SSL 证书

    SSL证书原理如下: ①手机客户向网络服务器恳求HTTPS联接手机客户向网络服务器传输手机客户SSL协议书的固件版本,加密技术的类型,造成的自然数,及其别的网络服务器和手机客户中间通信所必须的各种各样信息内容 ②网络服务器核对并回到证书网络服务器向手机客户传输SSL 协议书的固件版本,加密技术的类型,自然数及其别的基本信息,另外网络服务器还将向手机客户传输自身的证书。 ③手机客户验证网络服务器发过来的证书手机客户运用网络服务器传过来的信息内容验证网络服务器的法律性,网络服务器的法律性包含:证书是不是到期,出版服务器证书的CA是不是靠谱,发行者证书的公钥可否恰当解除服务器证书的 ④信息内容验证通过,手机客户转化成任意密匙A,用公钥数据加密后发送给网络服务器从第③步验证过的证书里边能够得到网络服务器的公钥,手机客户转化成的任意密匙就应用这一公钥来数据加密,数据加密以后,只能有着该网络服务器 假如要验证手机客户的身分,必须手机客户有着证书,在挥手时发送到证书,而这一证书是必须成本费的,可以在蔚可云申请ssl证书

    30600

    解决 NET::ERR_CERT_DATE_INVALID 错误的 10 种方式

    通常会有以下几种原因导致这一错误: 用户的电脑有问题,比如电脑设置、杀毒软件或者网络连接。 访问网站使用的浏览器有问题,可能是设置问题,也可能是浏览器和所使用的 SSL 证书不兼容。 也可能证书本身确实有问题,如题设错误中所对应的是证书过期了。 不管是什么原因导致的,这个问题都会影响使用,所以你肯定想要快速的修复它。看到这个错误也会让用户怀疑你的网站是否安全。 不过有时候,Edge 浏览器可能强制解决问题,不然无法访问。 歪马注:部分需要 Windows 截图的图片没有替换,请大家见谅。 虽然概率比较低,但有可能网站的所有者刚好正在更新 SSL 证书。 2. 不要使用公开的 WIFI 如果重新加载页面之后仍然无法访问,可以检查一下网络连接。 然而,这也会导致证书更新了,但是浏览器还是从缓存中读取,没有拿到最新的证书。 在 Windows 上清除 SSL 缓存,需要先打开控制面板,选择Internet 选项。

    46.2K20

    HTTPS 基本原理和配置 - 2

    NGINX 作为客户将使用 proxy_ssl_protocols 和 proxy_ssl_cipher 指令。 这里的主要区别是客户对服务器进行身份验证。所以,在浏览器的情况下,你有一组你信任的证书颁发机构,而 NGINX 作为客户,你也需要一组你信任的证书颁发机构。 在本例中,我们检查了一个名为 badSSL.com 的网站,它列举了所有可能导致 HTTPS 配置混乱的不同方法。你可以用 SSL Labs 扫描每一个,它会告诉你每一个有什么问题。 然而,这实际上有一点危险,因为如果你的 SSL 配置中断或证书过期,那么访问者将无法访问该站点的纯 HTTP 版本。你还可以做一些更高级的事情。就是将你的站点添加到预加载列表中。 4.3 风险 正如我提到的,有几个风险: •阻止人们通过 HTTP 访问站点 •如果 HTTPS 配置异常(比如证书过期),站点就无法访问了 4.4 NGINX 配置 HSTS server {

    6930

    Jexus服务器SSL二级证书安装指南

    申请获得服务器证书有三张,一张服务器证书,二张中级CA证书。在Android微信中访问Https,如果服务器只有一张CA证书,就无法访问。 获取服务器证书中级CA证书: 为保障服务器证书在客户的兼容性,服务器证书需要安装两张中级CA证书(以证书签发邮件为准,部分证书产品只有一张中级证书),根证书证书链内容,放在服务器证书内容的后边 SSLv2这个配置其实没有SSLv2对应的是sslv23,设为其它标准的值,就是具体的了,所以,如果你设为SSLv3,客户浏览器等就必须用SSLv3与服务器交流,设为TLSv1.2,客户就只能用TLSv1.2 的标准与服务器交流,如果客户没有对应的版本号,就会连接失败,服务器就会记一笔异常,说是SSLV3_GET_xxxxx的版本号错误。 =SSL_ERROR_SSL, Errno=0, Text=error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

    53680

    抓包分析 | APP 抓不到包怎么办?

    单向认证的APP 单向认证和双向认证 •单向验证的情况是客户校验证书,校验出错就无法访问•双向认证的情况是客户校验证书的时候,服务也要校验证书,有一证书校验失败都无法访问数据。 •关闭代理服务器(fiddler等代理抓包工具)•使用手机访问浏览器网页访问失败,确定代理失效•使用APP访问,正常访问确定 APP 不走代理访问网络 处理方法 •更换不基于代理类型的抓包工具( HTTP Analyzer V7--缺点没办法用在真机、HTTP Debug Pro、手机的HttpCanary-基于V**)•hook - 先反编译看看他是使用了那个框架,然后针对性的hook -- JustTrustMe ) 双向认证的APP 双向认证的情况是客户校验证书的时候,服务也要校验证书,有一证书校验失败都无法访问数据。 不过在双向认证的APP中要做到双向验证,在APP中一般要配置好服务器验证的证书,所以在客户中我们可以找到一个服务证书,我们只要在 Fiddler 中配置好这个证书就可以请求了。

    2.1K40

    Wireshark抓包帮你理清HTTPS请求流程

    作为传输层协议,主要为上层协议提供三个功能: 可靠传输,为每个字节安排好序号,排好序,并且有重传机制保证信息不丢失 流量控制,有滑动窗口,避免发送和接收速率不一致导致发包过快来不及接收 拥塞避免,在网络环境差的时候 所以,只有接收 B 在发送 A 发出了第三次握手包后,才认为连接已经建立,开始等待发送 A 发送的数据,才不会因为失效的连接请求报文导致接收异常。 密码套件随着密码学的发展而发展,而且根据现实应用中,可能会有某些密码被破解,从而导致密码套件可能会导致安全问题,所以一般都会使用当前最新最安全的密码套件。 像我们平时使用 Charles 抓 HTTPS 就是这个原理,把 Charles 的 CA 证书安装在手机中,成为受信任的根 CA 证书。 仿冒手机和真实服务建立连接获取主密钥,然后又仿冒服务手机客户建立 SSL 连接,修改服务证书的 CA 和数字签名,这样 Charles 就可以解析到加密的 HTTP 内容了。

    1.7K21

    相关产品

    • 静态网站托管

      静态网站托管

      静态网站托管(WH)是由腾讯云开发提供的便捷、稳定、高拓展性的托管服务。您无需自建服务器,自带CDN加速,一键即可部署网站应用。同时,通过JS SDK可直接操作数据库、云函数等,将静态网站扩展为带有后台服务端的全栈网站。

    相关资讯

    热门标签

    扫码关注腾讯云开发者

    领取腾讯云代金券