我的 SSL 憑證已過期。幾天后,我為我的網域建立了一個新網域。證書現已在線並正常工作,但用戶方面存在問題。當證書過期時,用戶有時會為我的網站添加“永久例外”,因此當我添加新證書時,他們仍然有舊的例外,並且當他們將滑鼠懸停在我網站上的“鎖定”圖標上時沒有看到新的證書。
那麼有什麼方法可以讓使用者重新檢查憑證或刪除瀏覽器的舊異常,而不需要任何巨大的設定選項呢?也許是一些自動化流程?
答案1
新的 SSL 憑證如果由受信任的憑證授權單位簽署,則在安裝後即有效。如果使用者在瀏覽器中沒有看到新證書,則表示伺服器上未安裝新證書或存在 MITM 攻擊,或者他們造訪了錯誤的網站。
若出現以下情況,新憑證可能無效:
- 它是為錯誤的網站簽署的(請參閱憑證的主題和主題備用名稱欄位)。
- 它是由瀏覽器不信任的 CA 簽署的
- 不在有效期限內
- 它是為了不同的目的而簽名的(例如軟體簽名,為一個人),等等...
Edit1:要查看 Web 伺服器提供的目前憑證的信息,您可以執行:
echo ""|openssl s_client -connect example.com:443|openssl x509 -text -noout