SSL证书如何仅适用于某些客户端？

我的托管服务提供商最近为我的域重新颁发了SSL证书，并重新安装了SSL证书，因为这些证书让旧的证书误过期了。

现在，我可以再次通过HTTPS 浏览该网站，我的主机也可以，其他许多用户也可以。

但是，某些用户（至少数百个用户中的至少十二个）仍在Your connection is not secure不同的浏览器和平台上收到错误消息。（事实证明，很难诊断出我无法复制的问题。）

我了解不同的浏览器使用不同的证书颁发机构（CA）列表。

1. 如果我没有运行相同版本的Firefox（在OS X上为45.0.1），却出现SEC_ERROR_UNKNOWN_ISSUER错误（仅适用于我的网站），为什么？有什么可能呢？该用户清除了缓存并重新启动了笔记本电脑。

我在digicert.com上运行了SSL检查。结果是这样的：

SSL证书不受信任

证书不是由受信任的机构签名的（请检查Mozilla的根存储）。如果您是从受信任的机构购买的证书，则可能只需要安装一个或多个中间证书。请与证书提供商联系，以获取针对您的服务器平台的帮助。

2. 在这种情况下，我怎么能在没有SSL错误的情况下连接到站点？

您的证书的证书链不完整。您的提供商很可能在安装新证书时未能安装某些中间证书。

大多数情况下，此类中间证书由SSL权威机构提供，以为某些较旧的浏览器和操作系统提供支持。这就是原因，尽管它对您有用，但对某些客户却不起作用。

SSLlabs的SSL Server测试是一个非常有用的工具，可用来检查您的网站的SSL问题。正如您在上面的链接中看到的那样，不仅您在这里遇到了连锁问题，而且用于创建证书的签名算法也很弱，您的网络服务器仍然容易受到POODLE攻击，并且仍然支持RC4。也被认为是不安全的...

我不想对您的网络服务器提供商说什么，但在您的位置，我会邮寄给他们，让他们尽快解决所有问题，或更改为其他提供商...

为了使证书受信任，它必须由您的浏览器/ OS组合本身信任的实体签名，或由该实体本身签名的实体。这通常是由一个受信任的根CA完成的，该受信任的根CA对中间CA进行签名，并且中间CA对您的证书进行签名。这将创建一个链，如下所示：

1. 您的计算机信任的根CA并签名
2. 中级CA，该标志
3. 您的证书仅受信任，因为它可以返回到根CA。

这里的问题是中间的CA证书。为了确保每个人都可以一直验证链回到根CA，您的提供程序应在其服务器配置中包括中间证书。在这种情况下，他们没有。

它对某些用户起作用的原因是他们在自己的“信任存储区”中拥有中间证书。在这种情况下，他们将接受您的证书，因为他们已经信任中间人。但是，如果您的访问者具有不同的操作系统/浏览器，则他们没有中间证书，因此他们需要从您的Web服务器获取证书-并且您的Web服务器不会分发它，因此他们无法验证它。

如果您使用的是HTTP公钥固定，并且您的提供者给您提供了一个新证书，则公钥可能已经更改。这些密钥将在指定的时间段内保存在客户端的浏览器中。