证书错误怎么办?用户在为网站部署证书时,有可能会遇到一些访问错误的现象,证书错误的原因可能是多方面的,比如以下问题。
SNI问题
如果出现特定的一些客户端或应用程序不能正常访问业务,提示“SSL handshake /error”或者证书不可信,则很可能是客户端不支持SNI引起的。
这些客户端或应用程序可能是旧版本的安卓,低版本JAVA开发的一些调用程序(特别是使用SSL协商的程序)、XP系统的IE浏览器、某些老款手机,以及第三方的支付回调接口等。
目前,绝大部分的浏览器和应用程序回调接口等都已全面支持SNI。如果将解析切换回源站就恢复正常,切换到WAF就异常,则可能是这个问题。建议升级相关的客户端,或者将回调接口直接解析回源。
Windows Server /IIS6服务器
Windows Server /IIS6服务器在接入WAF后,访问业务会出现白屏和502现象。这是因为系统TLS版本和加密套件过旧,安全性太弱,与WAF默认的回源算法不兼容。目前,服务商不再支持对2003系统的回源,微软官方也已不建议使用2003系统搭建站点。为了网站的通信安全,请升级至2008或以上的操作系统。
DH密钥太短导致链接失败
因为过短的DH(Diffie-Hellman)密钥存在安全问题,WAF已经停止对短密钥的支持。同样的,当您使用较新版本的火狐浏览器(如51.0.1)不经过WAF访问源站,也会看到相应的报错信息。请升级相关组件(如JDK版本),保证服务器DH算法的key位数为2048 bit 或更大。
以上是关于证书错误怎么办的介绍,融亿云与国际顶级CA机构及其代理商合作,为用户提供安全可靠的SSL证书申请与管理一站式服务,SSL证书申请链接