聲明：該文章由作者（徐小妙兒）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請(qǐng)附上出處(0XUCN)及本頁(yè)鏈接。。

最近有人反饋在他們的域名在MySSL檢測(cè)報(bào)告中出現(xiàn):

很疑惑為什么只是證書鏈不完整就會(huì)降級(jí)到B。那在這里簡(jiǎn)單的說明一下：

瀏覽器的處理

現(xiàn)代的瀏覽器都有證書自動(dòng)下載的功能，但很多瀏覽器在安裝后是使用系統(tǒng)內(nèi)置的證書庫(kù)，如果你缺失的那張CA證書，在系統(tǒng)的內(nèi)置證書庫(kù)中不存在的話，用戶第一次訪問網(wǎng)站時(shí)會(huì)顯示如下情況：（以Chrome為例）

即使你的證書確實(shí)是可信的，但依舊會(huì)顯示成不可信，只有等到瀏覽器自動(dòng)把缺失的那張CA證書從網(wǎng)上下載下來之后，訪問該網(wǎng)站才會(huì)顯示成可信狀態(tài)。

硬件設(shè)備的處理

大量的硬件設(shè)備并不會(huì)像瀏覽器一樣下載CA證書，如果你缺失的CA證書不再這些硬件設(shè)備的內(nèi)置證書庫(kù)中，那么使用這些硬件設(shè)備訪問網(wǎng)站就會(huì)一直顯示你的域名是不可信狀態(tài)。

修復(fù)

其實(shí)修復(fù)的辦法很簡(jiǎn)單，就是在部署證書的時(shí)候，把那張缺失的CA證書一并部署。目前一般的證書簽發(fā)機(jī)構(gòu)在簽發(fā)證書的時(shí)候會(huì)把該CA證書一并打包。但如果確實(shí)缺失了這張CA證書也不要慌，MySSL能夠幫你補(bǔ)全證書鏈。

使用單獨(dú)的補(bǔ)全工具

證書補(bǔ)全工具傳送門?https://myssl.com/chain_download.html

該工具支持輸入域名和上傳證書，如果使用輸入域名（支持非443端口）的方式，并且您的域名使用雙證書策略，修復(fù)結(jié)果就會(huì)如圖所示，該工具會(huì)對(duì)雙證書對(duì)進(jìn)行補(bǔ)全（如果雙證書都存在缺鏈的情況）。

MySSL檢測(cè)工具

MySSL檢測(cè)報(bào)告中暗含著證書鏈補(bǔ)全的功能：

只要點(diǎn)擊下載證書鏈，會(huì)跳轉(zhuǎn)到證書下載頁(yè)面。

但有一點(diǎn)需要注意：如果您的網(wǎng)站部署了雙證書：

下面的下載證書鏈對(duì)應(yīng)的是上選中證書（藍(lán)色選項(xiàng)卡）的證書鏈，千萬不要下錯(cuò)證書哦。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/