最近有人反饋在他們的域名在MySSL檢測報(bào)告中出現(xiàn):

很疑惑為什么只是證書鏈不完整就會降級到B。那在這里簡單的說明一下：

瀏覽器的處理

現(xiàn)代的瀏覽器都有證書自動下載的功能，但很多瀏覽器在安裝后是使用系統(tǒng)內(nèi)置的證書庫，如果你缺失的那張CA證書，在系統(tǒng)的內(nèi)置證書庫中不存在的話，用戶第一次訪問網(wǎng)站時會顯示如下情況：（以Chrome為例）

即使你的證書確實(shí)是可信的，但依舊會顯示成不可信，只有等到瀏覽器自動把缺失的那張CA證書從網(wǎng)上下載下來之后，訪問該網(wǎng)站才會顯示成可信狀態(tài)。

硬件設(shè)備的處理

大量的硬件設(shè)備并不會像瀏覽器一樣下載CA證書，如果你缺失的CA證書不再這些硬件設(shè)備的內(nèi)置證書庫中，那么使用這些硬件設(shè)備訪問網(wǎng)站就會一直顯示你的域名是不可信狀態(tài)。

修復(fù)

其實(shí)修復(fù)的辦法很簡單，就是在部署證書的時候，把那張缺失的CA證書一并部署。目前一般的證書簽發(fā)機(jī)構(gòu)在簽發(fā)證書的時候會把該CA證書一并打包。但如果確實(shí)缺失了這張CA證書也不要慌，MySSL能夠幫你補(bǔ)全證書鏈。

使用單獨(dú)的補(bǔ)全工具

證書補(bǔ)全工具傳送門?https://myssl.com/chain_download.html

該工具支持輸入域名和上傳證書，如果使用輸入域名（支持非443端口）的方式，并且您的域名使用雙證書策略，修復(fù)結(jié)果就會如圖所示，該工具會對雙證書對進(jìn)行補(bǔ)全（如果雙證書都存在缺鏈的情況）。

MySSL檢測工具

MySSL檢測報(bào)告中暗含著證書鏈補(bǔ)全的功能：

只要點(diǎn)擊下載證書鏈，會跳轉(zhuǎn)到證書下載頁面。

但有一點(diǎn)需要注意：如果您的網(wǎng)站部署了雙證書：

下面的下載證書鏈對應(yīng)的是上選中證書（藍(lán)色選項(xiàng)卡）的證書鏈，千萬不要下錯證書哦。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/