SSL证书随机抛出错误

Question

我从NameCheap (准确地说，是GeoTrust RapidSSL)购买了一个廉价的SSL证书，许多用户抱怨他们在访问页面时得到了一个“不受信任的SSL证书”错误。我从以下环境中得到了好处：

• 带有IE9的Windows 7
• 配备最新Chrome的Windows 7
• 带有最新Chrome的Windows
• Windows 7与最新火狐
• Windows与IE8

但是，许多具有这些配置的用户没有遇到任何问题。我个人使用OS和Windows 7与Canary和最新的Firefox (分别)，从来没有见过错误。

是什么导致这些看似不一致的SSL警告？我的印象是，RapidSSL产品在浏览器的99+%中是有效的，但我经常听到许多用户的无效证书。

我使用Nginx1.4.1配置如下：

listen 443 ssl;
listen [::]:443 ssl default ipv6only=on;
ssl on;
ssl_certificate /path/to/cert.crt
ssl_certificate_key /path/to/cert.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers RC4:HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;

注意:我从未听说过iOS或OS设备抛出错误。

Answer 1

假设存在这些问题的主机与所提供的屏幕截图中列出的问题相同，则可能会出现一些配置问题。至少在我看来，以下地点是一个很好的起点。您的映像中列出的主机进行了测试，结果可以是在这里看到的。最佳实践指南可以是在这里发现的。

现在，谈谈你最初的问题。首先突出的一点是，您的站点只在支持SNI的浏览器中工作。SNI不适用于Windows，甚至不适用于Internet 8，因为它依赖于特定的SCHANNEL组件，这些组件是基于OS而不是基于浏览器的。有关浏览器和SNI支持的更多信息可以是在这里发现的。在原始证据屏幕截图中可以观察到的问题也表明了证书链的问题；这可能需要更改CSR或您在web服务器上实现证书和相关中间证书的方式。

RapidSSL为安装他们的证书提供了一个很好的途径，它可以是在这里发现的。当连接到www.fqdn.com和fqdn.com截图中列出的站点时，似乎也有不同之处。这可能也是你想要研究的。

看起来你还有几件事情要看，一旦它们被解决了，它就会帮助你解决你最初看到的一些问题。我希望这能帮上忙。

Answer 2

试着运行这个测试。https://www.ssllabs.com/ssltest/index.html

或者因为RapidSSL是赛门铁克的子公司，所以你可以使用这个工具https://ssl-tools.verisign.com和安装程序https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=SO19374&actp=search&viewlocale=en_US&searchid=1376579760379。