大家都知道,如果网站部署SSL证书,是可以通过https访问网站的,有的网站设置了自动跳转到https,那默认访问网站会自动跳转到https的网站,如果能访问并出现安全锁,说明该网站是部署过ssl证书的,如果没有做https的跳转,则可以手动在浏览器地址栏的http后面加上一个英文字母“ s ”后回车,能正常访问并出现安全锁,则表明此网站实际上是部署了SSL证书,只是此页面没有做 https:// 跳转链接;如果不能访问,则表明此网站没有部署SSL证书。
如何判断是否正确部署了SSL证书?
大家能通过浏览器是否能实现https访问来判断证书是否有安装,但是不能确定证书部署就是没有问题的,接下来还得通过证书的详细信息以及浏览器的报错信息来判断证书是否是成功。那如何判断呢?
首页先浏览器端是否有绿色安全锁。出现绿色安全锁,点击绿色小锁查看详情,再点击“查看证书”就会显示证书主要信息 ( 证书目的、证书颁发者、证书颁发给、证书有效起始日期 )。再点击“详细信息”就会显示此证书的详细信息 ( 如:证书颁发者、证书主题、密钥用法、吊销列表 CRL 分发点、证书序列号,证书备用名称等等 ) ,可以查看和对比这些信息查看是否当前颁发的证书是否和您申请的域名一致并且是受信任的。如果各大浏览器均可以使用https访问出现绿色安全锁并且没有任何不安全的提醒和报错说明该证书部署已成功。但是很多时候会出现证书部署成功了浏览器仍然会有安全警告和提醒,主要有如下几种情况:
1、部署了SSL证书网站内页有调用http的不安全链接,脚本等。
解决办法:修改或者联系网页开发的技术人员修改您的网页源代码,把当前代码中http的调用链接等修改为https的。
2、采用的加密协议不是最新的版本以及加密套件是过时的。
解决办法:可以通过第三方的证书检测工具去检测下服务器上当前开启的TLS协议版本以及加密套件,关于加密协议目前主流并且安全的加密协议是TLS1.2和1.3,TLS1.0和TLS1.1的版本由于存在漏洞目前也已经被认为不是安全的加密协议了,出于安全性考虑是不建议开启的,但是考虑到一些旧的浏览器版本目前还只支持这些旧的加密协议,所以出于兼容性考虑建议也可以同时开启TLS1.0和TLS1.1。而如果采用过时的加密套件也会影响证书评级和安全。会导致浏览器虽然证书部署成功了会由于采用了不安全的加密协议或者过时的加密套件而显示不安全。所以更新了加密协议的同时还需要配置符合PFS规范的加密套件例如CBC和GCM加密认证类型。
3、缺少证书链导致部分浏览器或者移动设备访问提示证书不受信任
解决办法:部署SSL证书的时候补齐证书链,证书链其实就是描述证书的签名环节,通过浏览器经过层层检索来识别证书是否是可信任的,签名环节是根证书是通过浏览器检索根证书库来确认是否可信。然后根证书CA机构颁发证书给中间证书并证明中间证书是可信的 ,中间证书颁发证书给用户并证明用户证书是可信的,然后我们手里的就是用户证书。当证书链不完整的情况下,也就是没有描述我们手中的证书是由谁颁发的,所以导致的浏览器不认为你这个证书是可信的授权证书。一些主流的浏览器由于根证书库会自动更新CA的根证书所以即使没有部署证书链仍然提示安全,但是一些移动设备和小程序配置过程中无法自动补齐证书链,一旦缺失都会报不信任。所以证书部署过程中请注意一定补齐证书链。保障证书能在所有的浏览器端都是安全的。