如何解决 SSL/TLS 安全通道无法建立信任关系且权限错误

已发表: 2024-03-13

当您看到消息“无法与权威机构建立 SSL/TLS 安全通道的信任关系”时,这表明客户端应用程序和服务器之间的安全通信通道出现故障。 此问题深深植根于 SSL/TLS 协议,该协议是互联网上安全数据交换的支柱。 SSL(安全套接字层)和 TLS(传输层安全性)是加密协议,旨在通过计算机网络提供通信安全。

当客户端应用程序不信任服务器提供的 SSL/TLS 证书时,通常会出现此问题。 这可能是由于多种原因造成的,例如证书是自签名的、已过期或不是由受信任的证书颁发机构 (CA) 颁发的。 为了掌握这个问题的复杂性,我们必须了解如何建立安全连接的机制以及证书在此过程中的作用。 证书充当数字护照,向客户端验证服务器的身份,确保您正在通信的实体确实是他们声称的身份。

了解 SSL 和 TLS

SSL(安全套接字层)和 TLS(传输层安全性)是保护在线通信安全的基石。 它们对数据进行加密并验证连接,确保个人和付款详细信息等敏感信息在用户浏览器和网站服务器之间传输期间保持机密。 尽管它们有共同的目标,但认识到 SSL 和 TLS 之间的差异非常重要。 值得注意的是,TLS 是 SSL 的更新且更安全的版本,旨在解决早期 SSL 协议中发现的漏洞。

SSL/TLS 对于网站安全的必要性怎么强调也不为过。 当用户尝试访问您的网站时,该过程开始; 他们的浏览器首先验证您的 SSL 证书的有效性。 验证后,将建立加密连接,保护数据交换免遭潜在的窃听或篡改。

各类SSL证书针对不同需求量身定制:

单域证书:非常适合保护一个网站,为单个网站提供简单的解决方案。

通配符证书:更进一步,这些证书保护单个域及其子域,为在一个主域下运营多个服务前沿的企业提供灵活的解决方案。

多域通配符证书:最通用的选项,非常适合拥有多个网站和子域的组织。这种类型无需为每个域提供单独的证书,从而简化了管理和部署。

优质托管提供商认识到 SSL/TLS 的重要性,通常将免费 SSL 证书作为其托管计划的一部分。 此包含消除了安全 Web 托管的准入障碍,使网站所有者更容易采用 HTTPS。 例如,10Web 等提供商提供来自 Let's Encrypt 的免费 SSL 证书并利用 Cloudflare 集成。 此类托管套餐具有额外的优势,例如增强的安全措施、速度优化的基础设施和先进的性能监控工具。

对于那些有特定要求或喜欢不同证书颁发机构的人来说,从 Comodo 或 DigiCert 等受信任实体购买自定义 SSL 证书是另一种可行的途径。 无论来源如何,收购后的关键步骤包括在您的服务器上正确安装 SSL 证书并确保其正常运行以维护站点的安全状态。

从本质上讲,将 SSL/TLS 集成到网站的安全协议中不仅是最佳实践,而且是当今数字环境的基本要求。 它不仅可以保护用户的数据,还可以提高网站在访问者和搜索引擎眼中的可信度和可信度。 无论您选择托管提供商免费 SSL 的便利性还是购买证书的可定制性,关键在于勤奋安装和维护,以确保持续的安全性和性能。

问题的变体

这种 SSL/TLS 信任关系问题可能会在各种环境和平台中显现出来,包括 Web 浏览器、电子邮件客户端、API 连接以及任何依赖互联网安全连接的软件。 根据上下文或您使用的软件,错误消息可能会略有不同,但本质保持不变。 一些常见的变化包括:

  • 底层连接已关闭:无法建立 SSL/TLS 安全通道的信任关系。
  • 工作站和主域之间的信任关系失败。
  • 错误:无法与权限“[权限名称]”建立 SSL/TLS 安全通道的信任关系。
  • SSL 证书问题:无法获取本地颁发者证书。
  • 请求被中止:无法创建 SSL/TLS 安全通道。

出现此错误的原因

过期的 SSL/TLS 证书:就像您的护照一样,SSL/TLS 证书也有过期日期。 如果证书已过期,客户端将拒绝与服务器建立安全连接。

自签名证书:出于开发目的,服务器通常使用自签名证书。但是,除非显式添加到信任存储中,否则客户端应用程序不会信任它们,从而导致此错误。

域名不匹配:证书上的域名必须与正在访问的域名匹配。如果存在差异,客户端会将连接标记为不可信。

证书不是由可信机构颁发的:浏览器和客户端应用程序具有预定义的可信 CA 列表。如果服务器的证书不是由这些机构之一颁发的,则客户端将不会建立可信连接。

缺少中间证书:有时,服务器无法提供完整的信任链,从而省略中间证书。无法验证完整路径的客户端将拒绝连接。

解决无法建立信任关系错误

探索了“无法与权威机构建立 SSL/TLS 安全通道的信任关系”错误背后的典型原因后,让我们深入研究解决该问题的策略。

识别错误原因

首先,确定错误的根本原因至关重要。 执行此操作的方法因您访问网站所使用的浏览器而异。

苹果浏览器

Safari SSL 证书信息

  1. 遇到错误时单击“显示详细信息”按钮。 此操作会显示有关安全警告的更多信息。
  2. 选择查看网站的证书。 此审查可能会发现该网站的证书已过期或正在使用自签名证书,该证书默认不受信任,因为它缺乏第三方验证。

铬合金

自签名 SSL Chrome

  1. 单击地址栏中网站 URL 旁边的“不安全”警告,了解问题的总体情况。
  2. 有关更多详细信息,单击“证书无效”将打开一个弹出窗口,其中包含证书的详细信息,例如颁发日期和到期日期以及证书颁发机构 (CA)。

确定根本原因后,您可以继续执行以下解决方案:

更新或安装受信任的证书

  • 如果问题是由于自签名证书引起的,请考虑将其替换为由公认的 CA 颁发的证书。 这可确保浏览器信任并保护您的数据传输。
  • 在证书到期之前更新证书以避免信任问题。 定期检查证书的有效性以防止意外错误。

调整浏览器的安全设置

导航至浏览器的安全设置。 虽然不建议日常浏览,但您可以选择暂时降低安全设置来绕过错误。 但是,请确保您了解与接受未经验证的证书相关的风险。

一般故障排除

正确的日期和时间设置

最简单但最重要的检查之一是确保设备的日期和时间设置准确。 不正确的设置可能会导致 SSL 证书验证失败,因为系统可能认为证书已过期,但实际上并未过期。

苹果

Mac 设置中的日期和时间页面

导航至系统偏好设置 > 日期和时间。 如果需要更改,请单击底部的锁定图标进行调整。 您可以自动或手动设置时间以确保其正确。

系统和浏览器更新

过时的软件不仅存在安全风险,还可能导致 SSL/TLS 证书的兼容性问题。 确保您的操作系统和浏览器是最新的至关重要。

更新 macOS

Mac系统更新窗口

  1. 转至系统偏好设置 > 软件更新。
  2. 如果有可用更新,请按照提示下载并安装它。

更新谷歌浏览器

选择了 Chrome 更新的 Chrome 帮助页面

  1. 在 Chrome 中,单击右上角的三个点打开菜单。
  2. 将鼠标悬停在“帮助”上并选择“关于 Google Chrome”。
  3. Chrome 会自动检查更新。 如果发现更新,请按照说明进行安装,然后重新启动浏览器。

尽管确切的导航可能有所不同,但大多数浏览器中的这些步骤都是相似的。 始终确保您运行的是最新版本的软件,以避免不必要的问题。

为什么这些步骤很重要

日期和时间的准确性:SSL/TLS 证书具有特定的有效期。如果系统时钟设置不正确,可能会错误地触发错误,指示证书尚未有效或已过期。

软件更新:更新通常包括安全补丁和已知问题的修复。运行最新版本的操作系统和浏览器可确保您不会因已解决的漏洞或兼容性问题而遇到错误。

每个错误的解决方案

如何排除错误取决于确定的错误原因。 以下是一些基于常见原因的解决方案。

姓名不匹配

当您的 SSL 证书上的通用名称与您尝试访问的域不匹配时,如果没有正确的凭据,浏览器将不会让您进入。 这种不匹配是一个常见问题,但幸运的是,可以直接修复。

SSL 证书的通用名称 (CN) 充当其身份,告诉您的浏览器它所连接的网站确实是它所声称的网站。 当存在不匹配时(例如,证书适用于www.example.com ,但您尝试访问example.com ),浏览器会发出红旗,导致“无法建立信任关系”错误。

这个问题经常是由于“www”前缀而出现的。 许多用户在输入网址时可能不会包含它,因此网站的 SSL 证书能够识别这两者至关重要。

将您的 SSL 证书与您的域保持一致

单域

如果您的证书仅对您的域的一个特定版本(带或不带“www”)有效,则您需要执行以下操作:

  1. 首先,通过检查证书的详细信息来确认不匹配。 大多数浏览器允许您通过单击 URL 旁边的挂锁图标来查看证书,您可以在详细信息或证书路径部分下找到通用名称。
  2. 请联系您的证书颁发机构 (CA) 或 SSL 提供商,颁发与用户最有可能使用的域名相匹配的新证书。 理想情况下,选择涵盖“www”和非 www 版本域名的证书,以涵盖所有基础。

多域

如果您具有多域证书的灵活性,您就可以更好地快速解决此问题:

主题备用名称 (SAN) 允许您的证书对多个域名有效。 您可以通过 SSL 提供商的控制面板调整 SAN 来添加(或删除)域的“www”版本,或者直接联系他们寻求帮助。

SSL 证书过期

使用过期的 SSL 证书不仅会危及您的信誉,还会使您的访问者面临恶意活动,包括数据盗窃。 让我们分解一下使用新证书保护您的网站的过程。

安装有效的 SSL 证书

及时更新 SSL 证书对于维护网站与其用户之间的安全连接至关重要。 具体方法如下:

  1. 请联系为您颁发原始证书的 CA。 大多数 CA 都会在到期日期临近时发出续订通知,但如果您的 CA 没有,请主动直接与他们联系。
  2. 在续订证书之前,您可能需要从服务器生成新的 CSR。 此过程因您的托管环境而异,因此请咨询您的托管提供商或服务器文档以获取具体说明。
  3. 获得 CSR 后,将其提交给您的 CA。 他们将使用 CSR 中的信息为您的网站创建新的 SSL 证书。
  4. 您的 CA 颁发新证书后,您需要将其安装在您的服务器上。 同样,确切的步骤将取决于您的托管设置,因此请参阅提供商的指南或向他们的支持团队寻求帮助。

不要只是假设一切正常; 验证您的新证书是否已正确安装。 SSL 实验室的 SSL 测试等工具可以帮助您确认您的站点是安全的并且 SSL 是否按预期运行。

设置未来续订提醒

忘记续订 SSL 证书可能会导致不必要的停机和安全风险。 以下是避免这种情况的方法:

  • 这可能看起来很简单,但设置日历提醒是记住续订日期的有效方法。 将提醒设置在实际到期前几周到一个月,以便您有充足的时间采取行动。
  • 根据您的 CA,您也许能够为 SSL 证书设置自动续订。 该服务自动执行续订过程,确保您的证书始终是最新的,无需手动干预。
  • 使用专门查找 SSL 有效性的监控工具,并在证书即将到期时向您发出警报。 一些网络托管提供商将其作为其服务包的一部分提供。

最新的 SSL 证书是您抵御某些类型网络威胁的第一道防线。 它对您的服务器和访问者浏览器之间传输的数据进行加密,从而保护敏感信息免遭拦截。 此外,它还增强了您网站的可信度,因为浏览器会针对证书过期的网站显示安全警告,这可能会阻止访问者并损害您的声誉。

定期监控和主动更新策略是维护网站安全基础设施这一重要方面的关键。

将证书添加到受信任的存储区

当浏览器因不受信任的证书颁发机构 (CA) 标记安全警告时,将证书添加到受信任的存储区是一种常见的解决方法,特别是在已知 CA 安全的环境中(例如内部网络)。 让我们看看如何在 Mac 用户的 Safari 和 Windows 环境中执行此操作。

Mac 上的 Safari 用户

对于个人证书:

将证书添加到受信任的商店 safari

  1. 导航到导致信任问题的网站,单击 URL 旁边的挂锁图标(或类似的安全指示器),然后选择“查看证书”。
  2. 在证书信息窗口中,展开“信任”部分。 在这里,您将找到“使用此证书时”的下拉菜单。 将其设置为“始终信任”。

对于所有证书:

  1. 使用证书弹出窗口中的问号或“帮助”图标直接启动钥匙串访问,或从“应用程序”>“实用程序”手动打开它。
  2. 在“钥匙串访问”中的“系统根”下,找到“证书”部分。 在这里,您可以查看所有已安装的证书。
  3. 找到有问题的证书,右键单击它,然后选择“获取信息”。 在此信息窗口的信任部分中,您可以将设置修改为“始终信任”。

Windows 用户

将证书添加到受信任的商店窗口

  1. 单击 Windows 键并在搜索栏中输入“mmc”并打开控制台。
  2. 转到“文件”>“添加/删除管理单元”,选择“证书”,然后单击“添加”。 选择“计算机帐户”,然后选择“本地计算机”,然后单击“确定”。
  3. 导航至“受信任的根证书颁发机构”。 右键单击,选择“所有任务”,然后选择“导入”。 证书导入向导将指导您选择并导入证书文件。
  4. 按照向导的说明查找并导入证书。 确认操作并关闭 MMC。 您可能需要重新启动浏览器或计算机才能使更改生效。

将证书添加到受信任存储 Windows 2

调整信任设置或将证书导入受信任存储是管理安全警告和访问控制的有效方法。 然而,谨慎行事至关重要。

  • 仅调整信任设置或添加您绝对信任的 CA 或网站的证书。 错误的信任可能会让您面临安全漏洞。
  • 明智地使用此方法,主要用于内部网络或开发环境。 对于面向公众的站点,确保证书由公认且值得信赖的 CA 颁发。

自签名证书可能是一把双刃剑。 它们提供了一种快速、免费的方式来加密服务器和用户之间传输的数据,这使它们成为开发和测试等某些场景的有吸引力的选择。 然而,当您踏入更广阔的互联网世界时,其中的缺点就会变得显而易见,在这个世界中,信任和安全至关重要。

自签名证书

自签名证书本质上是由创建它的个人或组织而不是受信任的证书颁发机构 (CA) 签名的证书。 这意味着虽然它可以提供加密,但它缺乏浏览器和用户信任连接安全性所依赖的第三方验证。

主要浏览器和操作系统信任来自公认 CA 的证书,因为这些机构具有严格的验证流程。 自签名证书没有经过这样的审查,导致浏览器警告用户连接的安全性,这可能会阻止访问者并损害您网站的可信度。

如果自签名证书被泄露(例如私钥泄露),则无法撤销它。 另一方面,受信任的 CA 维护已吊销的证书列表(CRL 并使用 OCSP),允许浏览器实时检查证书的状态并阻止可能受损的连接。

转换为 CA 签名证书

对于面向公众的网站,迁移到 CA 签名的证书对于建立信任和安全至关重要。 以下是如何进行切换:

  • 研究并选择一个值得信赖的 CA。 有几个信誉良好的 CA,其中一些免费提供证书,例如 Let's Encrypt。
  • 此请求包含您的公钥和有关您的组织的详细信息。 您的网络服务器软件通常可以为您生成 CSR。
  • 选择 CA 后,您需要向他们提交 CSR。 CA 将验证您的域,并可能验证您的其他组织信息,具体取决于您申请的证书类型(DV、OV 或 EV)。
  • CA 颁发您的证书后,您需要将其安装在您的 Web 服务器上。 安装过程因您的服务器软件而异,因此请按照您的 CA 或托管提供商提供的说明进行操作。
  • 使用 SSL 实验室的 SSL 服务器测试等工具来确保您的证书安装正确并且您的站点安全。
  • 如果您的 CA 支持(例如 Let's Encrypt),设置自动续订可确保您的证书在无需手动干预的情况下保持有效,从而避免意外过期。

结束语

在整个博客中,我们了解了 SSL/TLS 证书错误的复杂性以及它们如何影响网站的安全性和用户信任。 从确定“无法建立信任关系”错误的根本原因到探索特定场景(例如证书不匹配、过期、不受信任的 CA 以及使用自签名证书),我们提供了一系列解决方案来保护您的站点。 无论是调整浏览器信任设置、更新或替换证书,还是从自签名证书过渡到 CA 签名证书,维护安全、可信数字通信的重要性一直是中心主题。 实施这些措施不仅可以增强网站安全性,还可以增强用户信心,确保流畅、安全的浏览体验。

利用 AI 加速 WordPress 网站创建

使用 10Web AI Website Builder 创建适合您业务需求的自定义 WordPress 网站,速度提高 10 倍。

生成您的网站
无需信用卡