如何解決 SSL/TLS 安全通道無法建立信任關係且權限錯誤

已發表: 2024-03-13

當您看到訊息「無法與權威機構建立 SSL/TLS 安全通道的信任關係」時,這表示客戶端應用程式和伺服器之間的安全通訊通道發生故障。 此問題深植於 SSL/TLS 協議,該協議是互聯網上安全資料交換的支柱。 SSL(安全通訊端層)和 TLS(傳輸層安全性)是加密協議,旨在透過電腦網路提供通訊安全性。

當客戶端應用程式不信任伺服器提供的 SSL/TLS 憑證時,通常會發生此問題。 這可能是由於多種原因造成的,例如憑證是自簽署的、已過期或不是由受信任的憑證授權單位 (CA) 頒發的。 為了掌握這個問題的複雜性,我們必須了解如何建立安全連線的機制以及憑證在過程中的作用。 證書充當數位護照,向客戶端驗證伺服器的身份,確保您正在通訊的實體確實是他們聲稱的身份。

了解 SSL 和 TLS

SSL(安全通訊端層)和 TLS(傳輸層安全性)是保護線上通訊安全的基石。 它們對資料進行加密並驗證連接,確保個人和付款詳細資訊等敏感資訊在用戶瀏覽器和網站伺服器之間傳輸期間保持機密。 儘管它們有共同的目標,但認識到 SSL 和 TLS 之間的差異非常重要。 值得注意的是,TLS 是 SSL 的更新且更安全的版本,旨在解決早期 SSL 協定中發現的漏洞。

SSL/TLS 對於網站安全的必要性怎麼強調也不為過。 當用戶嘗試訪問您的網站時,該過程開始; 他們的瀏覽器首先驗證您的 SSL 憑證的有效性。 驗證後,將建立加密連接,保護資料交換免於潛在的竊聽或篡改。

各類SSL憑證針對不同需求量身訂做:

單域憑證:非常適合保護一個網站,為單一網站提供簡單的解決方案。

通配符憑證:更進一步,這些憑證保護單一網域及其子網域,為在一個主網域下運作多個服務前沿的企業提供靈活的解決方案。

多域通配符憑證:最通用的選項,非常適合擁有多個網站和子網域的組織。這種類型無需為每個網域提供單獨的證書,從而簡化了管理和部署。

優質託管提供者認識到 SSL/TLS 的重要性,通常將免費 SSL 憑證作為其託管計劃的一部分。 此包含消除了安全 Web 託管的准入障礙,使網站所有者更容易採用 HTTPS。 例如,10Web 等供應商提供來自 Let's Encrypt 的免費 SSL 憑證並利用 Cloudflare 整合。 此類託管套餐具有額外的優勢,例如增強的安全措施、速度優化的基礎設施和先進的效能監控工具。

對於有特定要求或喜歡不同憑證授權單位的人來說,從 Comodo 或 DigiCert 等受信任實體購買自訂 SSL 憑證是另一種可行的途徑。 無論來源為何,收購後的關鍵步驟包括在您的伺服器上正確安裝 SSL 憑證並確保其正常運作以維護網站的安全狀態。

從本質上講,將 SSL/TLS 整合到網站的安全協定中不僅是最佳實踐,而且是當今數位環境的基本要求。 它不僅可以保護用戶的數據,還可以提高網站在訪客和搜尋引擎眼中的可信度和可信度。 無論您選擇託管提供者免費 SSL 的便利性還是購買憑證的可自訂性,關鍵在於勤奮安裝和維護,以確保持續的安全性和效能。

問題的變體

這種 SSL/TLS 信任關係問題可能會在各種環境和平台中顯現出來,包括 Web 瀏覽器、電子郵件用戶端、API 連線以及任何依賴網路安全連線的軟體。 根據上下文或您使用的軟體,錯誤訊息可能會略有不同,但本質保持不變。 一些常見的變化包括:

  • 底層連線已關閉:無法建立 SSL/TLS 安全通道的信任關係。
  • 工作站和主域之間的信任關係失敗。
  • 錯誤:無法與權限「[權限名稱]」建立 SSL/TLS 安全通道的信任關係。
  • SSL 憑證問題:無法取得本機發行者憑證。
  • 請求中止:無法建立 SSL/TLS 安全通道。

出現此錯誤的原因

過期的 SSL/TLS 憑證:就像您的護照一樣,SSL/TLS 憑證也有過期日期。 如果憑證已過期,用戶端將拒絕與伺服器建立安全連線。

自簽名憑證:出於開發目的,伺服器通常使用自簽名憑證。但是,除非明確添加到信任儲存中,否則客戶端應用程式不會信任它們,從而導致此錯誤。

網域不符:憑證上的網域必須與正在存取的網域名稱相符。如果存在差異,用戶端會將連線標記為不可信。

憑證不是由可信任機構核發的:瀏覽器和用戶端應用程式具有預先定義的可信任 CA 清單。如果伺服器的憑證不是由這些機構之一頒發的,則用戶端將不會建立可信任連線。

缺少中間憑證:有時,伺服器無法提供完整的信任鏈,從而省略中間憑證。無法驗證完整路徑的客戶端將拒絕連線。

解決無法建立信任關係錯誤

在探索了「無法與權威機構建立 SSL/TLS 安全通道的信任關係」錯誤背後的典型原因後,讓我們深入研究解決該問題的策略。

識別錯誤原因

首先,確定錯誤的根本原因至關重要。 執行此操作的方法會因您造訪網站所使用的瀏覽器而異。

蘋果瀏覽器

Safari SSL 憑證資訊

  1. 遇到錯誤時按一下“顯示詳細資料”按鈕。 此操作會顯示有關安全警告的更多資訊。
  2. 選擇查看網站的證書。 此審查可能會發現該網站的證書已過期或正在使用自簽名證書,該證書預設為不受信任,因為它缺乏第三方驗證。

鉻合金

自簽名 SSL Chrome

  1. 點擊網址列中網站 URL 旁邊的「不安全」警告,以了解問題的整體情況。
  2. 有關更多詳細信息,單擊“證書無效”將打開一個彈出窗口,其中包含證書的詳細信息,例如頒發日期和到期日期以及證書頒發機構 (CA)。

確定根本原因後,您可以繼續執行以下解決方案:

更新或安裝受信任的憑證

  • 如果問題是由於自簽名憑證引起的,請考慮將其替換為由公認的 CA 頒發的憑證。 這可確保瀏覽器信任並保護您的資料傳輸。
  • 在憑證到期之前更新憑證以避免信任問題。 定期檢查證書的有效性以防止意外錯誤。

調整瀏覽器的安全設定

導航至瀏覽器的安全設定。 雖然不建議日常瀏覽,但您可以選擇暫時降低安全設定來繞過錯誤。 但是,請確保您了解與接受未經驗證的證書相關的風險。

一般故障排除

正確的日期和時間設定

最簡單但最重要的檢查之一是確保設備的日期和時間設定準確。 不正確的設定可能會導致 SSL 憑證驗證失敗,因為系統可能認為憑證已過期,但實際上並未過期。

蘋果

Mac 設定中的日期和時間頁面

導覽至系統偏好設定 > 日期和時間。 如果需要更改,請點擊底部的鎖定圖示進行調整。 您可以自動或手動設定時間以確保其正確。

系統和瀏覽器更新

過時的軟體不僅存在安全風險,還可能導致 SSL/TLS 憑證的相容性問題。 確保您的作業系統和瀏覽器是最新的至關重要。

更新 macOS

Mac系統更新視窗

  1. 前往系統偏好設定 > 軟體更新。
  2. 如果有可用更新,請按照提示下載並安裝它。

更新Google瀏覽器

選擇了 Chrome 更新的 Chrome 說明頁面

  1. 在 Chrome 中,點擊右上角的三個點開啟選單。
  2. 將滑鼠懸停在「說明」上並選擇「關於 Google Chrome」。
  3. Chrome 會自動檢查更新。 如果發現更新,請依照指示進行安裝,然後重新啟動瀏覽器。

儘管確切的導航可能有所不同,但大多數瀏覽器中的這些步驟都是相似的。 始終確保您運行的是最新版本的軟體,以避免不必要的問題。

為什麼這些步驟很重要

日期和時間的準確性:SSL/TLS 憑證具有特定的有效期限。如果系統時鐘設定不正確,可能會錯誤地觸發錯誤,指示憑證尚未有效或已過期。

軟體更新:更新通常包括安全性修補程式和已知問題的修復。執行最新版本的作業系統和瀏覽器可確保您不會因已解決的漏洞或相容性問題而遇到錯誤。

每個錯誤的解決方案

如何排除錯誤取決於確定的錯誤原因。 以下是一些基於常見原因的解決方案。

姓名不符

當您的 SSL 憑證上的通用名稱與您嘗試存取的網域不符時,如果沒有正確的憑證,瀏覽器將不會讓您進入。 這種不匹配是一個常見問題,但幸運的是,可以直接修復。

SSL 憑證的通用名稱 (CN) 充當其身份,告訴您的瀏覽器它所連接的網站確實是它所聲稱的網站。 當存在不匹配時(例如,憑證適用於www.example.com ,但您嘗試造訪example.com ),瀏覽器會發出紅旗,導致「無法建立信任關係」錯誤。

這個問題經常是由於“www”前綴而出現的。 許多使用者在輸入網址時可能不會包含它,因此網站的 SSL 憑證能夠識別這兩者至關重要。

將您的 SSL 憑證與您的網域保持一致

單域

如果您的憑證僅對您的網域的一個特定版本(帶或不帶「www」)有效,則您需要執行以下操作:

  1. 首先,透過檢查證書的詳細資訊來確認不符。 大多數瀏覽器允許您透過點擊 URL 旁邊的掛鎖圖示來查看證書,您可以在詳細資料或證書路徑部分下找到通用名稱。
  2. 請聯絡您的憑證授權單位 (CA) 或 SSL 供應商,頒發與使用者最有可能使用的網域名稱相符的新憑證。 理想情況下,選擇涵蓋「www」和非 www 版本網域的證書,以涵蓋所有基礎。

多域

如果您具有多網域憑證的靈活性,您就可以更好地快速解決此問題:

主題備用名稱 (SAN) 允許您的憑證對多個網域有效。 您可以透過 SSL 提供者的控制台調整 SAN 來新增(或刪除)網域的「www」版本,或直接聯絡他們尋求協助。

SSL 憑證過期

使用過期的 SSL 憑證不僅會危及您的信譽,還會使您的訪客面臨惡意活動,包括資料竊取。 讓我們分解一下使用新憑證保護您的網站的過程。

安裝有效的 SSL 憑證

及時更新 SSL 憑證對於維護網站與其使用者之間的安全連線至關重要。 具體方法如下:

  1. 請聯絡為您核發原始憑證的 CA。 大多數 CA 都會在到期日臨近時發出續約通知,但如果您的 CA 沒有,請主動直接與他們聯繫。
  2. 在續訂憑證之前,您可能需要從伺服器產生新的 CSR。 此流程因您的託管環境而異,因此請諮詢您的託管提供者或伺服器文件以取得具體說明。
  3. 獲得 CSR 後,將其提交給您的 CA。 他們將使用 CSR 中的資訊為您的網站建立新的 SSL 憑證。
  4. 您的 CA 頒發新憑證後,您需要將其安裝在您的伺服器上。 同樣,確切的步驟將取決於您的託管設置,因此請參閱提供者的指南或向他們的支援團隊尋求協助。

不要只是假設一切正常; 驗證您的新證書是否已正確安裝。 SSL 實驗室的 SSL 測試等工具可以幫助您確認您的網站是安全的並且 SSL 是否如預期運作。

設定未來續訂提醒

忘記續訂 SSL 憑證可能會導致不必要的停機和安全風險。 以下是避免這種情況的方法:

  • 這可能看起來很簡單,但設定日曆提醒是記住續訂日期的有效方法。 將提醒設定在實際到期前幾週到一個月,以便您有充足的時間採取行動。
  • 根據您的 CA,您也許能夠為 SSL 憑證設定自動續訂。 本服務可自動執行續訂流程,確保您的憑證始終是最新的,無需手動介入。
  • 使用專門尋找 SSL 有效性的監控工具,並在憑證即將到期時向您發出警報。 一些網站託管提供者將其作為其服務包的一部分提供。

最新的 SSL 憑證是您抵禦某些類型網路威脅的第一道防線。 它會對您的伺服器和訪客瀏覽器之間傳輸的資料進行加密,從而保護敏感資訊免遭攔截。 此外,它還增強了您網站的可信度,因為瀏覽器會針對憑證過期的網站顯示安全警告,這可能會阻止訪客並損害您的聲譽。

定期監控和主動更新策略是維護網站安全基礎架構這一重要面向的關鍵。

將憑證新增至受信任的儲存區

當瀏覽器因不受信任的憑證授權單位(CA) 標記安全警告時,將憑證新增至受信任的儲存區是一種常見的解決方法,特別是在已知CA 安全的環境中(例如內部網絡)。 讓我們看看如何在 Mac 使用者的 Safari 和 Windows 環境中執行此操作。

Mac 上的 Safari 用戶

對於個人證書:

將憑證新增至受信任的商店 safari

  1. 導覽至導致信任問題的網站,按一下 URL 旁的掛鎖圖示(或類似的安全性指示器),然後選擇「檢視憑證」。
  2. 在憑證資訊視窗中,展開「信任」部分。 在這裡,您將找到「使用此憑證時」的下拉式功能表。 將其設為“始終信任”。

對於所有證書:

  1. 使用證書彈出視窗中的問號或「幫助」圖示直接啟動鑰匙圈訪問,或從「應用程式」>「實用程式」手動開啟它。
  2. 在「鑰匙串存取」中的「系統根」下,找到「憑證」部分。 在這裡,您可以查看所有已安裝的憑證。
  3. 找到有問題的證書,右鍵單擊它,然後選擇“獲取資訊”。 在此資訊視窗的信任部分中,您可以將設定修改為「始終信任」。

Windows 使用者

將證書新增至受信任的商店窗口

  1. 點擊 Windows 鍵並在搜尋列中輸入“mmc”並開啟控制台。
  2. 前往“檔案”>“新增/刪除管理單元”,選擇“憑證”,然後按一下“新增”。 選擇“電腦帳戶”,然後選擇“本機電腦”,然後按一下“確定”。
  3. 導覽至「受信任的根憑證授權單位」。 右鍵單擊,選擇“所有任務”,然後選擇“導入”。 憑證匯入精靈將指導您選擇並匯入憑證檔案。
  4. 請按照精靈的說明尋找並匯入憑證。 確認操作並關閉 MMC。 您可能需要重新啟動瀏覽器或電腦才能使變更生效。

將憑證新增至受信任儲存 Windows 2

調整信任設定或將憑證匯入受信任儲存是管理安全警告和存取控制的有效方法。 然而,謹慎行事至關重要。

  • 僅調整信任設定或新增您絕對信任的 CA 或網站的憑證。 錯誤的信任可能會讓您面臨安全漏洞。
  • 明智地使用此方法,主要用於內部網路或開發環境。 對於面向公眾的站點,確保證書由公認且值得信賴的 CA 頒發。

自簽名證書可能是一把雙面刃。 它們提供了一種快速、免費的方式來加密伺服器和用戶之間傳輸的數據,這使它們成為開發和測試等某些場景的有吸引力的選擇。 然而,當您踏入更廣闊的網路世界時,其中的缺點就會變得顯而易見,在這個世界中,信任和安全至關重要。

自簽名證書

自簽名憑證本質上是由創建它的個人或組織而不是受信任的憑證授權單位 (CA) 簽署的憑證。 這意味著雖然它可以提供加密,但它缺乏瀏覽器和用戶信任連接安全性所依賴的第三方驗證。

主要瀏覽器和作業系統信任來自公認 CA 的證書,因為這些機構具有嚴格的驗證流程。 自簽名憑證沒有經過這樣的審查,導致瀏覽器警告使用者連線的安全性,這可能會阻止訪客並損害您網站的可信度。

如果自簽名憑證外洩(例如私鑰外洩),則無法撤銷它。 另一方面,受信任的 CA 會維護已撤銷的憑證清單(CRL 並使用 OCSP),允許瀏覽器即時檢查憑證的狀態並阻止可能受損的連線。

轉換為 CA 簽章憑證

對於面向公眾的網站,遷移到 CA 簽署的憑證對於建立信任和安全至關重要。 以下是如何進行切換:

  • 研究並選擇一個值得信賴的 CA。 有幾個信譽良好的 CA,其中一些免費提供證書,例如 Let's Encrypt。
  • 此請求包含您的公鑰和有關您的組織的詳細資訊。 您的網頁伺服器軟體通常可以為您產生 CSR。
  • 選擇 CA 後,您需要向他們提交 CSR。 CA 將驗證您的網域,並可能驗證您的其他組織訊息,具體取決於您申請的憑證類型(DV、OV 或 EV)。
  • CA 頒發您的憑證後,您需要將其安裝在您的 Web 伺服器上。 安裝過程因您的伺服器軟體而異,因此請按照您的 CA 或託管提供者提供的說明進行操作。
  • 使用 SSL 實驗室的 SSL 伺服器測試等工具來確保您的憑證安裝正確且您的網站安全。
  • 如果您的 CA 支援(例如 Let's Encrypt),設定自動續訂可確保您的憑證在無需手動幹預的情況下保持有效,從而避免意外過期。

結束語

在整個部落格中,我們了解了 SSL/TLS 憑證錯誤的複雜性以及它們如何影響網站的安全性和使用者信任。 從確定「無法建立信任關係」錯誤的根本原因到探索特定場景(例如憑證不符、過期、不受信任的 CA 以及使用自簽名憑證),我們提供了一系列解決方案來保護您的網站。 無論是調整瀏覽器信任設定、更新或取代證書,還是從自簽名證書過渡到 CA 簽名證書,維護安全、可信任數位通訊的重要性一直是中心主題。 實施這些措施不僅可以增強網站安全性,還可以增強使用者信心,確保流暢、安全的瀏覽體驗。

利用 AI 加速 WordPress 網站創建

使用 10Web AI Website Builder 建立適合您業務需求的自訂 WordPress 網站,速度提高 10 倍。

產生您的網站
無需信用卡