一个好的 ssl 证书是否有可能在客户端的计算机上失败?
blo*_*ead 3 ssl ssl-certificate
我有一个在 SSL 后面运行的服务器(https://es.content-index.oustatic.com:8443)。我们从某人那里得到了一份报告,说 SSL 证书很糟糕:
然而,这对我们来说似乎很好。我将它插入 ssl 检查器(https://www.sslshopper.com/ssl-checker.html#hostname=es.content-index.oustatic.com:8443),这表明证书是好的。
客户端的机器上是否有一些配置错误?为什么他的机器会抱怨证书?
客户可能会发现证书不合适的原因有很多。最有可能的是,客户端不会将证书视为链接到信任锚。我会通过Qualys SSLLabs(这是 IMO,迄今为止最全面和信息量最大的 SSL 测试工具)运行该站点,但该站点仅支持端口 443 上的服务,因此我们在那里缺少一些有用的诊断信息。
在这一点上,我想说是时候询问客户他们到底发生了什么,以便您可以使用类似的配置重现问题。
由于看起来客户端是一个普通的 Web 浏览器,我建议问题不在于浏览器本身,而是存在一些 SSL 拦截。这对于当前的客户端病毒扫描程序(通常将必要的代理 CA 放入系统 CA 存储)或某些中间件(如企业环境中的防火墙)来说非常典型。通常在这种情况下,其他 SSL 站点也会失败,但也可能是由于非标准端口而进行了一些特殊处理。
查看交付给客户端浏览器的证书和链可能有助于调试问题。