Google Chrome认为A +评级仍然不安全

Answers:

48

该服务器无法证明它是www.zandu.biz;请访问www.zandu.biz。它的安全证书来自zandu.biz。这可能是由于配置错误或攻击者拦截了您的连接引起的。

您网站证书中的名称是zandu.biz,该名称对于其他名称无效(www.zandu.biz)。此外,您具有从zandu.biz到www.zandu.biz的重定向,因此,如果您使用该名称,则证书有效,因为它会重定向到不是该名称的名称。

您需要的是同时获得两个名称的证书

zrm
source
4
如果您实际上未提前知道要使用的名称,通配符证书可能会更加方便或必要。但是,如果关联的私钥遭到破坏,它们也会增加您的风险,因为攻击者可以伪造您域中的任何名称,而不仅仅是伪造服务器实际使用的名称。
zrm
4
让我们加密是一个CA。当他们刚开始时,他们被IdenTrust交叉签名,但到2020年结束,因为他们自己的根证书现已得到广泛信任。这些都与您的问题无关,无论哪种方式都一样。
zrm
8
S /通用名称/使用者备用名称/ -铬尚未使用的通用名称为2年; 其他浏览器仅在不存在SAN的情况下才这样做,自2010年前以来,对于公共CA中的任何(EE)证书都不是这样,尽管您可以将其安排用于自己创建的测试证书。这就是为什么您可以在多个域中获得一个证书的原因-仅使用通用名的古老证书无法做到这一点。
dave_thompson_085 '19
12
@djdomi的通配符证书*.example.com仍不能覆盖裸域example.com。SAN中仍然需要两个值。
Michael-sqlbot
4
避免使用通配符证书的更大原因是OP正在使用LetsEncrypt。虽然LetsEncrypt确实支持通配符证书,但这需要进行DNS挑战。满足DNS挑战更难实现自动化。此外,自动执行DNS挑战可能意味着受感染的服务器将授予攻击者访问您的DNS的权限。因此,使用一个UCC证书或两个证书就足够了(这种方法没什么大不了。无论哪个更容易)。
布莱恩
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.