那些遇到过的问题

Google Chrome 认为 A+ 评级仍然不安全

The*_*ect 10 ssl apache-2.4 lets-encrypt

我在DigitalOcean上配置我的服务器,虽然我从 ssllabs 获得了 A+ 评级,

https://www.ssllabs.com/ssltest/analyze.html?d=zandu.biz

当我连接到我的网站https://www.zandu.bizhttps://zandu.biz 时,我在 Chrome 中收到不安全通知。

我该如何解决这个问题?

zrm*_*zrm 48

该服务器无法证明是www.zandu.biz;其安全证书来自zandu.biz。这可能是由于配置错误或攻击者拦截了您的连接造成的。

您站点证书中的名称是 zandu.biz,它不适用于其他名称 (www.zandu.biz)。此外,您可以从 zandu.biz 重定向到 www.zandu.biz,因此如果您使用该名称,则证书有效,因为它会重定向到它不是的名称。

您需要的是获得具有两个名称的证书

  • @djdomi `*.example.com` 的通配符证书仍然不包括裸域 `example.com`。您仍然需要 SAN 中的两个值。 (12认同)
  • **s/Common Name/Subject Alternative Name/** -- Chrome 已经 2 年没有使用 Common Name 了;其他浏览器只有在 SAN 不存在时才会这样做,自 2010 年以来,公共 CA 的任何 (EE) 证书都不是这样,尽管您可以为自己创建的测试证书安排它。这正是您_可以_为多个域获得一个证书的原因——仅使用通用名称的古老证书无法做到这一点。 (8认同)
  • 如果您打算使用的名称实际上事先并不知道,通配符证书可能会更方便或必要。但是,如果相关的私钥遭到破坏,它们也会增加您的风险,因为攻击者可以在您的域中伪造任何名称,而不仅仅是服务器实际使用的名称。 (4认同)
  • Let's Encrypt 是一个 CA。当他们刚开始时,他们 [由 IdenTrust 交叉签名](https://letsencrypt.org/2019/04/15/transitioning-to-isrg-root.html) 但在 2020 年结束,因为他们自己的根证书是现在广受信赖。这些都与您的问题没有任何关系,无论哪种方式都是一样的。 (4认同)
  • 避免使用通配符证书的更大原因是 OP 正在使用 LetsEncrypt。虽然 LetsEncrypt 确实支持通配符证书,但这需要 DNS 质询。满足 DNS 挑战更难自动化。此外,自动化 DNS 质询可能意味着受感染的服务器将授予攻击者访问您的 DNS 的权限。因此,使用 UCC 证书或两个证书就足够了(哪种方法无关紧要。选择哪个更容易)。 (4认同)

归档时间:

查看次数:

5421 次

最近记录:

6 年,1 月 前
相关归档
升级到 Ubuntu 20.04 后无法连接 MySQL(错误 2026) 17
OpenSSL:如何使用交互式请求的主题备用名称 (SAN) 生成 CSR? 13
如何配置 IIS 7.5 SSL \ TLS 以与 iOS 9 ATS 一起使用 11
基于 LDAP 组成员资格的 Apache 用户身份验证不起作用 6
通配符 SSL 跨浏览器/操作系统/计算机的行为不一致 5
如何在 nginx 中重新加载证书吊销列表 (CRL)? 4
NginX“proxy_ssl_certificate”问题,它是用来做什么的? 4
在 IIS 6 上替换旧 SSL 证书的过程? 2
无法启动 Apache,配置测试失败:“env: apache2ctl: 没有这样的文件或目录” 1
letencrypt 证书自动化 0
难疑归档
如何为 ApplicationPoolIdentity 帐户分配权限 273
为什么我的主机名在 /etc/hosts 中显示地址为 127.0.1.1 而不是 127.0.0.1? 241
用于检查域的 TXT 记录的 Linux 命令 225
我如何在 bash 或 ksh 中睡眠一毫秒 163
如何在 OS X 上设置全局 PATH 环境变量? 103
从 USB 拇指驱动器启动和安装 Windows 96
为 https 正确设置“默认”nginx 服务器 92
这个nginx错误“重写或内部重定向循环”是什么意思? 89
在 IIS 7 中启用 HTTP 严格传输安全 (HSTS) 77
如何在 Mac OS X 上重启 Nginx? 71