为什么经常遇到无效证书?
生活随笔
收集整理的這篇文章主要介紹了
为什么经常遇到无效证书?
小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
我們經(jīng)常遇到無(wú)效證書,而且無(wú)效證書非常流行,很難找到?jīng)]有遇到過這些證書的人。以下是幾個(gè)根本原因。
- 配置錯(cuò)誤的虛擬主機(jī)
今天,多數(shù)網(wǎng)站只在端口80上運(yùn)行且不使用加密。一個(gè)常見的配置錯(cuò)誤是讓這些明文網(wǎng)站和在443端口上使用加密的其他網(wǎng)站使用同一個(gè)IP地址。這樣一來,如果用戶嘗試使用https訪問明文網(wǎng)站的話,就會(huì)導(dǎo)致錯(cuò)誤的發(fā)生:證書和域名不匹配。
這個(gè)問題的部分原因是,在技術(shù)層面,我們沒有一種機(jī)制可以使得網(wǎng)站來聲明是否支持加密。從這個(gè)角度來看,托管明文網(wǎng)站的正確做法是讓他們使用關(guān)閉了端口443的IP地址。
在2010年,有數(shù)據(jù)統(tǒng)計(jì),掃描了19億個(gè)域名,尋找加密網(wǎng)站。掃描的列表包括所有的.com、.net和.org域名。我發(fā)現(xiàn)2265萬(wàn)(19%)的安全網(wǎng)站托管在大概200萬(wàn)個(gè)IP地址上。在這些安全網(wǎng)站中,只有72萬(wàn)個(gè)(3.2%)網(wǎng)站的證書和域名匹配。
有一個(gè)名稱正確的證書是一個(gè)好的開始,但是這還不夠。大概30%的這類證書在2010年的調(diào)查中由于其他原因而實(shí)際是無(wú)效的(不受信)。 - 域名覆蓋范圍不足
在少數(shù)場(chǎng)合下,網(wǎng)站管理員購(gòu)買并部署了證書,但是證書中沒有包含全部的網(wǎng)站域名。例如,你在example.com上運(yùn)行了一個(gè)網(wǎng)站,證書可能包括這個(gè)域名以及example.com。如果網(wǎng)站還有其他的域名,證書中也需要包含那些域名。 - 自簽名證書和私有CA
自簽名的證書以及私有CA簽發(fā)的證書不適合在公開場(chǎng)合使用。這類證書無(wú)法簡(jiǎn)單并可靠地與中間人攻擊的證書區(qū)分開。在我的調(diào)查中,大約48%的無(wú)效證書是因?yàn)檫@個(gè)原因。
那么為什么人們要使用這類證書?原因有很多:(1)購(gòu)買、配置和續(xù)簽證書帶來了額外的工作,而且需要持續(xù)投入;(2)直到幾年前,證書的價(jià)格仍比較昂貴;(3)一些人認(rèn)為公共受信的證書應(yīng)該是免費(fèi)的,因而拒絕進(jìn)行付費(fèi)購(gòu)買。然而,最簡(jiǎn)單的事實(shí)是公共受信證書對(duì)于公開網(wǎng)站是適合的。 - 設(shè)備使用的證書
當(dāng)今,很多設(shè)備都有基于Web的管理界面,這些界面要求使用安全通信。當(dāng)這些設(shè)備被制造出來的時(shí)候,域名和IP還無(wú)法確定,這意味著生產(chǎn)廠商無(wú)法安裝有效的證書。理論上來講,最終用戶可以自己在設(shè)備上安裝證書,但是很多這種設(shè)備都不常用,因此也就不值得去購(gòu)買并安裝證書。此外,很多設(shè)備的管理界面也不允許用戶自己配置證書。 - 過期的證書
另外一個(gè)無(wú)效證書產(chǎn)生的重要原因是過期。在我的調(diào)查中,57%的無(wú)效證書是由于過期導(dǎo)致的。在很多情況下,網(wǎng)站的管理員忘記去續(xù)簽證書,或者,他們放棄了取得有效證書的想法,但是并沒有將老的證書下線。需要購(gòu)買新的SSL證書,請(qǐng)登錄https://shop.evtrust.com - 錯(cuò)誤的配置
另外一個(gè)常見的問題是錯(cuò)誤的配置。為了讓一張證書被信任,每個(gè)瀏覽器都需要建立起一條信任鏈,從服務(wù)器證書到一個(gè)可信任的根證書。服務(wù)器被要求提供除了根證書之外的整個(gè)信任鏈,但是根據(jù)SSL Pulse的數(shù)據(jù),大約6%的服務(wù)器的證書鏈不完整。在某些情況下,瀏覽器可以對(duì)此作出變通,但是通常他們并不會(huì)這樣做。
當(dāng)談到用戶體驗(yàn)的時(shí)候,一個(gè)2013年的研究結(jié)果顯示在39億個(gè)公開的TLS連接中,有1.54%的連接存在證書警告。但是這只是在公開的互聯(lián)網(wǎng)上的情況,在這里網(wǎng)站一般都會(huì)盡量避免警告。在某些特定的場(chǎng)景下(例如內(nèi)聯(lián)網(wǎng)或者內(nèi)部應(yīng)用),你可以需要每天都需要點(diǎn)擊通過證書警告,以便可以訪問和工作相關(guān)的Web應(yīng)用程序。
如果您遇到這些無(wú)效證書,請(qǐng)聯(lián)系易維信技術(shù)支持。
轉(zhuǎn)載于:https://www.cnblogs.com/sslblogs/p/6748515.html
總結(jié)
以上是生活随笔為你收集整理的为什么经常遇到无效证书?的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 1.4 Matplotlib:绘图
- 下一篇: FD_CLOEXEC用法及原因_转