我們經常遇到無效證書，而且無效證書非常流行，很難找到沒有遇到過這些證書的人。以下是幾個根本原因。

• 配置錯誤的虛擬主機
  今天，多數網站只在端口80上運行且不使用加密。一個常見的配置錯誤是讓這些明文網站和在443端口上使用加密的其他網站使用同一個IP地址。這樣一來，如果用戶嘗試使用https訪問明文網站的話，就會導致錯誤的發生：證書和域名不匹配。
  這個問題的部分原因是，在技術層面，我們沒有一種機制可以使得網站來聲明是否支持加密。從這個角度來看，托管明文網站的正確做法是讓他們使用關閉了端口443的IP地址。
  在2010年，有數據統計，掃描了19億個域名，尋找加密網站。掃描的列表包括所有的.com、.net和.org域名。我發現2265萬（19%）的安全網站托管在大概200萬個IP地址上。在這些安全網站中，只有72萬個（3.2%）網站的證書和域名匹配。
  有一個名稱正確的證書是一個好的開始，但是這還不夠。大概30%的這類證書在2010年的調查中由于其他原因而實際是無效的（不受信）。
• 域名覆蓋范圍不足
  在少數場合下，網站管理員購買并部署了證書，但是證書中沒有包含全部的網站域名。例如，你在example.com上運行了一個網站，證書可能包括這個域名以及example.com。如果網站還有其他的域名，證書中也需要包含那些域名。
• 自簽名證書和私有CA
  自簽名的證書以及私有CA簽發的證書不適合在公開場合使用。這類證書無法簡單并可靠地與中間人攻擊的證書區分開。在我的調查中，大約48%的無效證書是因為這個原因。
  那么為什么人們要使用這類證書？原因有很多：（1）購買、配置和續簽證書帶來了額外的工作，而且需要持續投入；（2）直到幾年前，證書的價格仍比較昂貴；（3）一些人認為公共受信的證書應該是免費的，因而拒絕進行付費購買。然而，最簡單的事實是公共受信證書對于公開網站是適合的。
• 設備使用的證書
  當今，很多設備都有基于Web的管理界面，這些界面要求使用安全通信。當這些設備被制造出來的時候，域名和IP還無法確定，這意味著生產廠商無法安裝有效的證書。理論上來講，最終用戶可以自己在設備上安裝證書，但是很多這種設備都不常用，因此也就不值得去購買并安裝證書。此外，很多設備的管理界面也不允許用戶自己配置證書。
• 過期的證書
  另外一個無效證書產生的重要原因是過期。在我的調查中，57%的無效證書是由于過期導致的。在很多情況下，網站的管理員忘記去續簽證書，或者，他們放棄了取得有效證書的想法，但是并沒有將老的證書下線。需要購買新的SSL證書，請登錄https://shop.evtrust.com
• 錯誤的配置
  另外一個常見的問題是錯誤的配置。為了讓一張證書被信任，每個瀏覽器都需要建立起一條信任鏈，從服務器證書到一個可信任的根證書。服務器被要求提供除了根證書之外的整個信任鏈，但是根據SSL Pulse的數據，大約6%的服務器的證書鏈不完整。在某些情況下，瀏覽器可以對此作出變通，但是通常他們并不會這樣做。

當談到用戶體驗的時候，一個2013年的研究結果顯示在39億個公開的TLS連接中，有1.54%的連接存在證書警告。但是這只是在公開的互聯網上的情況，在這里網站一般都會盡量避免警告。在某些特定的場景下（例如內聯網或者內部應用），你可以需要每天都需要點擊通過證書警告，以便可以訪問和工作相關的Web應用程序。

如果您遇到這些無效證書，請聯系易維信技術支持。

轉載于:https://www.cnblogs.com/sslblogs/p/6748515.html

總結

以上是生活随笔為你收集整理的为什么经常遇到无效证书？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。