浏览器显示"不安全连接"解决方法：快速修复SSL证书问题

January 11, 2020 · 6 min read

OHTTPS

免费HTTPS证书 • 自动化更新 • 自动化部署 • 自动化监控

当用户访问您的网站时，如果浏览器显示"不安全连接"或"您的连接不是私密连接"的警告，这会严重影响用户体验和网站信任度。本文将详细介绍这些警告的原因和解决方法，帮助您快速修复SSL证书问题。

一、常见浏览器警告

1. Chrome/Edge警告

警告信息：

"您的连接不是私密连接"
"NET::ERR_CERT_AUTHORITY_INVALID"
"NET::ERR_CERT_DATE_INVALID"
"NET::ERR_CERT_COMMON_NAME_INVALID"

2. Firefox警告

警告信息：

"安全连接失败"
"SEC_ERROR_EXPIRED_CERTIFICATE"
"SEC_ERROR_UNKNOWN_ISSUER"
"SSL_ERROR_BAD_CERT_DOMAIN"

3. Safari警告

警告信息：

"此连接不是私密连接"
"Safari无法验证此网站的身份"

二、警告原因分析

1. 证书过期

症状：

浏览器显示证书过期警告
显示"NET::ERR_CERT_DATE_INVALID"

原因：

SSL证书已超过有效期
证书未及时更新

解决方法：

检查证书有效期
更新证书
重新部署证书

2. 证书链不完整

症状：

浏览器显示"NET::ERR_CERT_AUTHORITY_INVALID"
某些浏览器可以访问，某些不能

原因：

服务器未发送完整的证书链
缺少中间CA证书

解决方法：

使用完整链证书文件
配置服务器发送证书链
确保证书链文件正确

3. 域名不匹配

症状：

浏览器显示"NET::ERR_CERT_COMMON_NAME_INVALID"
证书域名与访问域名不一致

原因：

证书是为其他域名签发的
使用了错误的证书

解决方法：

确保证书域名与访问域名匹配
使用正确的证书
检查通配符证书配置

4. 自签名证书

症状：

浏览器显示证书不受信任
需要手动添加例外

原因：

使用了自签名证书
证书不是由受信任的CA签发

解决方法：

使用受信任CA签发的证书
申请免费证书（如Let's Encrypt）
使用OHTTPS申请免费证书

5. 混合内容

症状：

HTTPS页面显示不安全警告
部分资源加载失败

原因：

HTTPS页面加载HTTP资源
混合内容问题

解决方法：

将所有资源改为HTTPS
使用相对协议或协议相对URL
配置内容安全策略

三、诊断步骤

1. 检查证书状态

使用浏览器检查：

点击地址栏的锁图标
查看证书信息
检查证书有效期
检查证书域名

使用命令行检查：

# 检查证书信息
echo | openssl s_client -connect example.com:443 -servername example.com 2>/dev/null | openssl x509 -noout -text

# 检查证书有效期
echo | openssl s_client -connect example.com:443 -servername example.com 2>/dev/null | openssl x509 -noout -dates

# 检查证书链
echo | openssl s_client -connect example.com:443 -servername example.com -showcerts

2. 使用SSL测试工具

SSL Labs测试：

访问 https://www.ssllabs.com/ssltest/
输入域名
查看详细报告
检查证书链、协议、加密套件等

其他测试工具：

SSL Checker: https://www.sslshopper.com/ssl-checker.html
Why No Padlock: https://www.whynopadlock.com/

四、解决方法

1. 证书过期

立即更新证书：

使用OHTTPS申请新证书
下载新证书
更新到服务器
重启Web服务器

使用自动更新：

在OHTTPS平台启用自动更新
确保证书在到期前自动更新

2. 证书链不完整

Nginx配置：

server {
    listen 443 ssl;
    server_name example.com;
    
    # 使用完整链文件
    ssl_certificate /etc/nginx/ssl/fullchain.pem;
    ssl_certificate_key /etc/nginx/ssl/privkey.pem;
    ssl_trusted_certificate /etc/nginx/ssl/chain.crt;
}

Apache配置：

<VirtualHost *:443>
    ServerName example.com
    SSLEngine on
    
    SSLCertificateFile /etc/apache2/ssl/cert.pem
    SSLCertificateKeyFile /etc/apache2/ssl/private.key
    SSLCertificateChainFile /etc/apache2/ssl/chain.crt
</VirtualHost>

3. 域名不匹配

检查证书域名：

# 查看证书中的域名
openssl x509 -in certificate.crt -noout -text | grep -A 1 "Subject Alternative Name"

解决方法：

确保证书域名与访问域名完全匹配
使用通配符证书保护子域名
使用多域名证书保护多个域名

4. 自签名证书

申请受信任证书：

使用OHTTPS申请免费证书
使用Let's Encrypt申请免费证书
购买商业证书

快速申请：

OHTTPS：几分钟内完成申请
支持DNS授权自动验证
完全免费

5. 混合内容

修复混合内容：

将所有HTTP资源改为HTTPS
使用相对URL
配置内容安全策略

Nginx配置：

# 升级不安全请求
add_header Content-Security-Policy "upgrade-insecure-requests" always;

Apache配置：

# 升级不安全请求
Header always set Content-Security-Policy "upgrade-insecure-requests"

五、预防措施

1. 使用受信任的CA

推荐CA：

Let's Encrypt（免费）
OHTTPS（免费，基于Let's Encrypt）
DigiCert（商业）
Sectigo（商业）

2. 正确配置证书链

确保完整链：

使用包含中间CA的完整链文件
配置服务器发送证书链
定期检查证书链完整性

3. 定期更新证书

自动更新：

使用OHTTPS自动更新
使用acme.sh自动更新
使用Certbot自动更新

4. 监控证书状态

设置监控：

使用OHTTPS证书监控
设置证书到期提醒
定期检查证书状态

六、常见错误代码

1. NET::ERR_CERT_AUTHORITY_INVALID

原因：证书链不完整或证书不受信任

解决方法：

使用完整链证书
使用受信任CA的证书

2. NET::ERR_CERT_DATE_INVALID

原因：证书已过期或未生效

解决方法：

更新证书
检查系统时间

3. NET::ERR_CERT_COMMON_NAME_INVALID

原因：证书域名与访问域名不匹配

解决方法：

使用正确的证书
确保证书域名匹配

4. NET::ERR_CERT_REVOKED

原因：证书已被吊销

解决方法：

申请新证书
检查证书状态

七、测试和验证

1. 清除浏览器缓存

清除步骤：

清除浏览器缓存
清除SSL状态
重新访问网站

2. 多浏览器测试

测试浏览器：

Chrome/Edge
Firefox
Safari
移动浏览器

3. 使用SSL测试工具

测试工具：

SSL Labs SSL Test
SSL Checker
Why No Padlock

八、最佳实践

1. 证书管理

✅ 使用受信任的CA
✅ 正确配置证书链
✅ 定期更新证书
✅ 监控证书状态

2. 服务器配置

✅ 使用强加密协议
✅ 配置安全响应头
✅ 启用HSTS
✅ 避免混合内容

3. 监控和维护

✅ 设置证书到期提醒
✅ 使用自动更新
✅ 定期检查SSL配置
✅ 使用SSL测试工具验证

总结

浏览器显示"不安全连接"警告通常是由证书过期、证书链不完整、域名不匹配或自签名证书等原因引起的。通过正确配置证书、使用受信任的CA、定期更新证书和监控证书状态，可以有效避免这些问题。

关键要点：

✅ 使用受信任CA签发的证书
✅ 正确配置证书链
✅ 确保证书域名匹配
✅ 定期更新证书
✅ 避免混合内容

如果您遇到SSL证书问题，推荐使用OHTTPS平台申请免费证书，它提供了完整的证书管理和自动更新功能，帮助您快速解决证书问题。

OHTTPS: 免费HTTPS证书/SSL证书申请 • 自动化更新、部署、监控

OHTTPS 支持通过多种域名验证方式(DNS验证、HTTP验证、文件验证等)申请免费的HTTPS证书/SSL证书，包括单域名证书、多域名证书、通配符证书、IP证书等，支持HTTPS证书/SSL证书的自动化更新、自动化部署、自动化监控及告警等，并支持将HTTPS证书/SSL证书自动化部署至阿里云、腾讯云、群晖NAS、百度云、七牛云、多吉云、又拍云、宝塔面板、Docker容器、SSH等，实现HTTPS证书/SSL证书的一站式申请、更新、部署、监控和管理。

一、常见浏览器警告​

1. Chrome/Edge警告​

2. Firefox警告​

3. Safari警告​

二、警告原因分析​

1. 证书过期​

2. 证书链不完整​

3. 域名不匹配​

4. 自签名证书​

5. 混合内容​

三、诊断步骤​

1. 检查证书状态​

2. 使用SSL测试工具​

四、解决方法​

1. 证书过期​

2. 证书链不完整​

3. 域名不匹配​

4. 自签名证书​

5. 混合内容​

五、预防措施​

1. 使用受信任的CA​

2. 正确配置证书链​

3. 定期更新证书​

4. 监控证书状态​

六、常见错误代码​

1. NET::ERR_CERT_AUTHORITY_INVALID​

2. NET::ERR_CERT_DATE_INVALID​

3. NET::ERR_CERT_COMMON_NAME_INVALID​

4. NET::ERR_CERT_REVOKED​

七、测试和验证​

1. 清除浏览器缓存​

2. 多浏览器测试​

3. 使用SSL测试工具​

八、最佳实践​

1. 证书管理​

2. 服务器配置​

3. 监控和维护​

总结​

一、常见浏览器警告

1. Chrome/Edge警告

2. Firefox警告

3. Safari警告

二、警告原因分析

1. 证书过期

2. 证书链不完整

3. 域名不匹配

4. 自签名证书

5. 混合内容

三、诊断步骤

1. 检查证书状态

2. 使用SSL测试工具

四、解决方法

1. 证书过期

2. 证书链不完整

3. 域名不匹配

4. 自签名证书

5. 混合内容

五、预防措施

1. 使用受信任的CA

2. 正确配置证书链

3. 定期更新证书

4. 监控证书状态

六、常见错误代码

1. NET::ERR_CERT_AUTHORITY_INVALID

2. NET::ERR_CERT_DATE_INVALID

3. NET::ERR_CERT_COMMON_NAME_INVALID

4. NET::ERR_CERT_REVOKED

七、测试和验证

1. 清除浏览器缓存

2. 多浏览器测试

3. 使用SSL测试工具

八、最佳实践

1. 证书管理

2. 服务器配置

3. 监控和维护

总结