今天小编跟大家讲解下有关HTTPS 常见部署问题及解决方案 ,相信小伙伴们对这个话题应该有所关注吧,小编也收集到了有关HTTPS 常见部署问题及解决方案 的相关资料,希望小伙伴们看了有所帮助。
遇到任何有关部署 HTTPS 或 HTTP/2 的问题 都推荐先用Qualys SSL Labs's SSL Server Test跑个测试 大部分问题都能被诊断出来。
申请 Let's Encrypt 证书时 一直无法验证通过这类问题一般是因为 Let's Encrypt 无法访问你的服务器 推荐尝试acme.sh的DNS 验证模式 一般都能解决。
网站无法访问 提示 ERR_CERTIFICATE_TRANSPARENCY_REQUIRED使用 Chrome 53 访问使用 Symantec 证书的网站 很可能会出现这个错误提示。这个问题由 Chrome 的某个 Bug 引起 目前最好的解决方案是升级到 Chrome 最新版。相关链接:
Out of date Chrome results in ERR_CERTIFICATE_TRANSPARENCY_REQUIRED for Symantec operated sites;Warning | Certificate Transparency error with Chrome 53;浏览器提示证书有错误检查证书链是否完整首先确保网站使用的是合法 CA 签发的有效证书 其次检查 Web Server 配置中证书的完整性(一定要包含站点证书及所有中间证书)。如果缺失了中间证书 部分浏览器能够自动获取但严重影响 TLS 握手性能;部分浏览器直接报证书错误。
What's My Chain Cert?这个网站可以用来检查证书链是否完整 它还可以用来生成正确的证书链。
检查浏览器是否支持 SNI如果只有老旧浏览器(例如 IE8 on Windows XP)提示这个错误 多半是因为你的服务器同时部署了使用不同证书的多个 HTTPS 站点 这样 不支持 SNI(Server Name Indication)的浏览器通常会获得错误的证书 从而无法访问。
要解决浏览器不支持 SNI 带来的问题 可以将使用不同证书的 HTTPS 站点部署在不同服务器上;还可以利用 SAN(Subject Alternative Name)机制将多个域名放入同一张证书;当然你也可以直接无视这些老旧浏览器。特别地 使用不支持 SNI 的浏览器访问商业 HTTPS CDN 基本都会因为证书错误而无法使用。
有关 SNI 的更多说明 请看「关于启用 HTTPS 的一些经验分享(二)」。
检查系统时间如果用户电脑时间不对 也会导致浏览器提示证书有问题 这时浏览器一般都会有明确的提示 例如 Chrome 的 ERR_CERT_DATE_INVALID。
启用 HTTP/2 后网站无法访问 提示 ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY这个问题一般是由于 CipherSuite 配置有误造成的。建议对照「Mozilla 的推荐配置、CloudFlare 使用的配置」等权威配置修改 Nginx 的ssl_ciphers配置项。
有关这个问题的具体原因 请看「从启用 HTTP/2 导致网站无法访问说起」。
网站无法访问 提示 ERR_SSL_VERSION_OR_CIPHER_MISMATCH出现这种错误 通常都是配置了不安全的 SSL 版本或者 CipherSuite —— 例如服务器只支持 SSLv3 或者 CipherSuite 只配置了 RC4 系列 使用 Chrome 访问就会得到这个提示。解决方案跟上一节一样。
还有一种情况会出现这种错误 —— 使用不支持 ECC 的浏览器访问只提供 ECC 证书的网站。例如在 Windows XP 中 使用 ECC 证书的网站只有 Firefox 能访问(Firefox 的 TLS 自己实现 不依赖操作系统);Android 平台中 也需要 Android 4+ 才支持 ECC 证书。
针对不支持 ECC 证书的浏览器 有一个完美的解决方案 请看「开始使用 ECC 证书」。
在 Nginx 启用 HTTP/2 后 浏览器依然使用 HTTP/1.1Chrome 51+ 移除了对 NPN 的支持 只支持 ALPN 而浏览器和服务端都支持 NPN 或 ALPN 是用上 HTTP/2 的大前提。换句话说 如果服务端不支持 ALPN Chrome 51+ 无法使用 HTTP/2。
OpenSSL 1.0.2 才开始支持 ALPN —— 很多主流服务器系统自带的 OpenSSL 都低于这个版本 所以推荐在编译 Web Server 时自己指定 OpenSSL 的位置。
详见「为什么我们应该尽快支持 ALPN」。
升级到 HTTPS 后 网站部分资源不加载或提示不安全记住一个原则:HTTPS 网站的所有外链资源(css、js、图片、音频、字体文件、异步接口、表单 action 地址等等)都需要升级为 HTTPS 就不会遇到这个问题了。
详见「关于启用 HTTPS 的一些经验分享(三)」。
仅 Safari、iOS 各种浏览器无法访问如果你的 HTTPS 网站用 PC Chrome 和 Firefox 访问一切正常 但 macOS Safari 和 iOS 各种浏览器无法访问 有可能是 Certificate Transparency 配置有误。当然 如果你之前没有通过 TLS 扩展启用 Certificate Transparency 请跳过本小节。
具体症状是:通过 Wireshark 抓包分析 通常能看到名为 Illegal Parameter 的 alert 信息;通过curl -v排查 一般能看到 Unknown SSL protocol error in connection 错误提示。
这时候 请进入 Nginxssl_ct_static_scts配置指定的目录 检查 SCT 文件大小是否正常 尤其要关注是否存在空文件。
需要注意的是:根据官方公告 从 2016 年 12 月 1 日开始 Google 的 Aviator CT log 服务将不再接受新的证书请求。用ct-submit等工具手动获取 SCT 文件时 不要再使用 Aviator 服务 否则就会得到空文件。
更新:nginx-ct 的作者已经发布了v1.3.2 针对零字节的 SCT 文件做了处理 不再发送。
将 OpenSSL 升级到 1.1.0+ IE8 无法访问造成这个问题的根本原因是 OpenSSL 1.1.0+ 默认禁用了 3DES 系列的 Cipher Suites:
For the 1.1.0 release, which we expect to release tomorrow, we will treat triple-DES just like we are treating RC4. It is not compiled by default; you have to use “enable-weak-ssl-ciphers” as a config option.via
升级到 OpenSSL 1.1.0+ 之后 要么选择不支持 Windows XP + IE8;要么在编译时加上enable-weak-ssl-ciphers参数。例如这是我的 Nginx 编译参数:
./configure --add-module=../ngx_brotli --add-module=../nginx-ct-1.3.2 --with-openssl=../openssl --with-openssl-opt='enable-tls1_3 enable-weak-ssl-ciphers' --with-http_v2_module --with-http_ssl_module --with-http_gzip_static_module本文链接:https://imququ.com/post/troubleshooting-https.html
来源:爱蒂网
