证书颁发机构不受信任
浏览器内置可信根证书库仅识别国际认证的证书颁发机构(CA)。若网站使用自签名证书或未通过审核的机构签发证书,将触发安全警告。建议选择GlobalSign、DigiCert等国际权威CA机构签发证书。
证书有效期管理不当
SSL证书默认有效期通常为1年,过期证书会导致浏览器立即终止信任。需注意:
- 企业证书最长有效期398天
- 免费证书有效期通常仅3个月
- 证书续期需提前30天操作
域名与证书主体不匹配
浏览器会严格验证域名与证书申明主体的一致性,包括:
- 主域名与子域名差异(需配置通配符证书)
- IP地址证书未包含实际访问地址
- 多域名证书遗漏部分站点
证书链配置异常
完整的证书链应包含根证书、中间证书和终端证书。常见问题包括:
- 服务器未安装中间证书
- 证书安装顺序错误
- 根证书未同步更新
混合内容风险隐患
HTTPS页面若包含HTTP协议的外部资源(如图片、脚本),仍会触发安全警告。需通过以下方式解决:
- 使用相对协议
//example.com/resource.js - 启用内容安全策略(CSP)
- 全站强制HTTPS跳转
SSL证书信任警告主要由证书源不可信、配置错误、管理疏漏三方面导致。企业应建立证书生命周期管理体系,定期进行SSL配置检测,并优先选择支持自动续期的证书服务。
