电脑浏览器显示证书错误怎么办？终于找到答案了深入解析：如何修复SSL / TLS握手失败错误（下）

无效的SSL/TLS证书

浏览器将SSL /TLS证书视为无效证书，并防止成功握手完成有多种原因。

我们将在接下来的篇幅中逐一介绍。还有值得注意的是，有时候这些问题将在客户端变为与SSL / TLS握手失败消息不同的错误。通常正常情况下也会因为网站上的某些内容而无法提供安全的连接。但是从技术层面上来讲，是由于握手失败而导致发生的错误。

主机名不正确

这曾经是WWW和非WWW版本的网站的问题。但证书颁发机构已大大缓解了此问题，允许将其免费列为SAN（主题备用名称）域。通常可以通过重新颁发证书或有时使用通配符证书来解决此问题。

证书链不正确

SSL / TLS和PKI中的信任模型通常依赖于精心策划的根程序。这些是从字面上存在于计算机系统中的受信任CA根证书的集合。

这些CA根是无价的，数量很多以至于证书颁发机构可以旋转中级根并使用这些中级根对SSL / TLS叶（最终用户）证书进行签名，而不是直接向它们提示风险。这是链开始出现的地方。CA根证书用于对中级根进行数字签名。这些中级根用于签署其他中级根或最终用户SSL / TLS叶证书。

当浏览器收到SSL / TLS证书时，检查其真实性的其中一项工作就是验证签名。它查看SSL / TLS证书上的数字签名，并追随到对其进行签名的中级根。然后，它查看该中级根证书的数字签名，并追随到为其中级根签名的证书。依此类推，直到最终，它到达其信任库中的根CA证书之一。

如果无法做到这一点，那么证书链通常是不完整的，这意味着浏览器无法找到其中一个中级根，导致SSL / TLS握手失败。为了解决这个问题，你将需要找到并安装缺少的中级证书。根据你从哪个CA购买证书，它们就应该提供其中级根。

过期/吊销的证书

尽管当前SSL / TLS生态系统中的证书吊销过程还有很多需要改进，但在某些情况下，浏览器仍会看到证书已被吊销，并且在此基础上造成的握手失败这就是证书过期的结果。因为SSL / TLS证书仅在一定时间内有效。

为什么会造成SSL / TLS证书过期：

· 确保验证信息保持准确。

· 迅速增加协议和密码更新。

· 为了消除需要的证书吊销列表（CRL） 。

· 为了防止网络罪犯破坏标准的加密算法（如果没有量子计算，这实际上是不可能的）。

截至2020年9月1日，SSL / TLS证书的最大有效期现在为一年（398天）。这就表示你需要比较频繁地定期换出证书。如果你在证书过期之前忘记了密码，那可能造成SSL / TLS握手失败。这时只有重新签发有效证书并安装它，才可以解决你的问题。

自签名替换

在公共的互联网上，如果客户端尚未在根存储中手动安装你的私有根，则自签名证书将即时呈现错误。在内部网络上，自签名证书就相当普遍了。但如果将它们交换出去太多，则可能会出现问题。

大多数浏览器都会缓存证书，以便在返回网站后可以更快地进行握手。但是，如果你要定期生成新证书，则将所有这些新生成的证书连续添加到本地数据库中的时候引起混乱。最终，浏览器将难以进行路径构建和崩溃。

过去，Firefox一直在这个问题付出很大的努力，7-8个证书要重新颁发就会导致大量延迟，要是10个以上那就更可能使握手要花费30秒钟以上。

启用SNI的服务器

这更多是设备之间存在的内部问题，但是有时候客户端在未启用SNI的情况下与指示服务器的服务器名称进行通信，这也可能是导致SSL / TLS握手失败的原因。

所以你需要做的第一件事是确定所使用的服务器的主机名和端口号，并确保它已启用SNI并正在传达所需的一切。同样，这通常不是一个需要公开的问题，但可能是由于内部不适配引起的。

不要部署不良的SSL / TLS

很多时候，网站所有者是直到出现无法忽略的问题的时候才会想到要进行更改。虽然SSL / TLS握手失败错误可以有一些客户端修复程序进行操作，但通常还是属于服务器端的问题。

所以作为普通的互联网用户，要想减轻SSL/ TLS握手错误方面的问题，你的选择是有限的。最好的办法就是将问题告知站点所有者，然后等待他们解决。如果他们不想这么做，那么最终的做法只能是停止使用该网站。

所以我们总结一下，那是我们安全地访问网站绝对要清楚的事情：

· 不要丢下防火墙。通常，你可以将网站列入白名单，但不要丢弃防火墙；

· 不要禁用你的防病毒软件。如果可以，将其列入白名单，但请继续将其列入名单并进行更新。

· 不要通过HTTP连接或点击插页式警告。从任何角度看，这都是不好的，并且可能导致很多问题。

如果你要访问的网站不能提供安全的浏览体验，则不要去访问该网站。消除SSL / TLS握手错误并不影响安全性。

好的，朋友们，《深入解析：如何修复SSL / TLS握手失败错误》3期内容已全部分享完毕。持续关注“国密应用研究院”，更多精彩即将推出。

注：文章内容为国密应用研究院原创翻译整理

本文由“国密应用研究院”原创，转载请注明出处，了解更多精彩内容，关注“国密应用研究院”微信公众号。​​​​​​​​​​​