如果網站的 SSL 憑證已過期或不正確,Web 使用者可能會不願意載入該網站。
閱讀本文後,您將能夠:
複製文章連結
安全通訊端層 (SSL) 是一種通訊協定,用於加密和驗證網際網路上的用戶端和伺服器之間傳輸的資料。該通訊協定的更新版本稱為 Transport Layer Security (TLS)。
SSL/TLS 依賴於 SSL 憑證的使用,這是託管在 Web 伺服器上的資料檔案,有助於加密流量並驗證伺服器的身分。伺服器和用戶端(試圖存取伺服器上所託管網站的人使用的裝置)使用 SSL 憑證建立對稱式加密金鑰並開始安全的加密傳輸——所有這些都在幾毫秒內完成。加密使用者和伺服器之間傳輸的資料有助於防止資料洩露,使網站能夠保留使用者信任並滿足合規性要求。
SSL/TLS 憑證問題可能會阻止使用者安全載入和存取網站及應用程式。以下是使用者和網站管理員可能會遇到的一些常見 SSL 憑證錯誤(或 TLS 錯誤)。
大多數 SSL 憑證由稱為憑證授權單位的外部組織簽發和簽署。瀏覽器通常不信任自我簽署憑證,因為沒有外部授權單位驗證憑證。瀏覽器也可能由於其他原因而無法識別憑證授權單位:例如,由 Symantec 簽發的 SSL 憑證不再受到主流瀏覽器的信任。此 SSL 憑證錯誤可能會導致瀏覽器中顯示「您的連線並非私人連線」訊息,從而阻止使用者造訪網站。
從更廣泛支援的憑證授權單位取得 SSL 憑證可以修復此錯誤。(例如,Cloudflare 免費提供所有瀏覽器信任的 SSL 憑證。)
網際網路社群多年來多次更新 SSL/TLS 通訊協定,以修復漏洞並加快驗證過程——名稱從 SSL 變更為 TLS 就反映了這一點。
許多 Web 服務已開始強制使用最新的通訊協定。最新且使用最廣泛的 TLS 版本是 TLS 1.3,但 TLS 1.2 仍在使用中。
對於設定為僅接受最安全通訊協定的 Web 主機和網站,用戶端必須至少支援 TLS 1.2,否則 TLS 交握無法按計劃進行。(在這種情況下,可能會出現錯誤「建立 TLS 用戶端認證時發生致命錯誤」。)使用者應確保其裝置上的瀏覽器和作業系統支援最新、最安全的 TLS 版本,以避免出現此 SSL 憑證錯誤。
就像某些政府核發的身分證明文件(例如護照)會在一定年限後過期一樣,SSL 憑證也必須定期更新。這有助於確保同一實體仍然運作相關的 Web 服務,就像更新護照相片有助於確認身分一樣。用戶端的 Web 瀏覽器不會信任過期的 SSL 憑證,因此會導致 TLS 交握無法進行,也無法建立安全連線。
要解決此 SSL 問題,Web 管理員需要確保其網域和子網域的 SSL 憑證都是最新的。
如果用戶端的時鐘不正確,也可能發生此錯誤:在這種情況下,用戶端的瀏覽器可能無法判斷 SSL 憑證是否已過期。重設用戶端裝置上的時鐘可修復此類錯誤。
當 SSL 憑證上的名稱與用戶端輸入的 URL 不符時,就會出現名稱不符錯誤。如果使用者輸入的頂層網域與預期不同、在憑證上未列出「www」時輸入該名稱或以其他方式錯誤拼寫了網域,就會發生這種情況。如果網站營運者錯誤標記了其憑證或未能包含其網域面向公眾的所有名稱,也可能會出現名稱不符的情況。最後,當用戶端或伺服器不支援 SNI 延伸(詳見下文)時,也可能會發生常見的名稱不符錯誤。
為避免此錯誤,網站管理員應確保其 SSL憑證上的網域拼字正確。此外,SSL 憑證的「主體別名」(SAN) 部分應列出該網域名稱的所有合法替代表示形式。
伺服器名稱指示 (SNI) 是 TLS 通訊協定的擴充功能,用於一台伺服器上代管多個網域的情況。當用戶端開始連線時,它直接連接到伺服器(由 IP 位址指示)。這台伺服器可以代管多個網站——就像多個居民居住的公寓大樓一樣。
繼續類比,SNI 作為一個擴充功能,它在地址上新增一個公寓編號,以便伺服器知道將 SSL 連接要求導向到哪個網站(或「公寓」)。但是,如果前往伺服器的要求不使用 SNI,伺服器可能會向發起連線的用戶端顯示錯誤的 SSL 憑證,導致常見的名稱不符錯誤。
為了避免此錯誤,網站管理員應使用支援最新 TLS 通訊協定(包括 SNI 和加密 SNI)的 Web 主機。
Cloudflare 透過自動管理和續訂所有客戶網站的憑證來幫助網站營運者避免這些錯誤。當組織需要管理數十、數百或數百萬個子網域時,確保憑證不會過期可能需要一名全職員工來完成。但 Cloudflare 可以讓這個過程自動完成。
在方案頁面上瞭解 Cloudflare SSL 憑證選項。