站点已部署https证书-支付不跳转 检测SSL/TLS的服务显示证书链不完整,降级为6的解说
[重要通告]如您遇疑难杂症,本站支持知识付费业务,扫右边二维码加博主微信,可节省您宝贵时间哦!
最近几天,新网站有些不稳定,出现的问题不少,今天特意又搞个新的证书研究一下,用“内容分发网络CDN”就可以正常支付,但用IP里的地址支付,就不回调,代码肯定没有问题,就想到了是不是SSL证书标准问题,就想着抓紧检测一下;不检测不晓得,一检测,嚯嚯~~~
HTTPS检测工具\SSL安全评估检测地址: https://stool.chinaz.com/https/default.aspx
检测部署SSL/TLS的服务是否符合行业最佳实践,PCI DSS支付卡行业安全标准,Apple ATS规范。
一顿操作猛于虎,发现了很大的问题,我去,之前也遇到过,但没在意~~~这不是大坑的嘛~~如下所示
注意:证书链不完整,降级为6
其实一直没有想到到底是哪里问题,还是研究是不是免费证书不行,但是还是开头说的,因为用“内容分发网络 CDN”就可以,同一个证书,肯定还是出现在代码不完整上;
毕竟给的提示就是 “注意:证书链不完整,降级为6” 那就肯定是证书部署错误~~~
从SSL证书提供商处获取完整的CA信息
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----以下是您的CA证书:
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----
发现证书应该是三段的,并不是原始Apche两段的代码,然后抓紧操作一番~~~证书部署如下
.crt在最上面,大约为3KB,中间位置为“root_bundle.crt”,最下面为.csr,大约2KB,再来检测,如下图所示
经过操作一番,就正常了,也不显示证书链不完整了,最初明明是2段,现在坑货变成了三段,真是狗~~~
HTTPS配置指南:
- 1. 需要配置符合PFS规范的加密套件,推荐配置:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE ; - 2. 需要在服务端TLS协议中启用TLS1.2,推荐配置:TLSv1 TLSv1.1 TLSv1.2 ;
- 3. 需要保证当前域名与所使用的证书匹配;
- 4. 需要保证证书在有效期内;
- 5. 需要使用SHA-2签名算法的证书;
- 6. 需要保证证书签发机构是可信的CA机构。
- 7. HSTS(HTTP严格传输安全)的 max-age 需要大于15768000秒。
- 8. 《 HTTPS 安全最佳实践》
问题未解决?付费解决问题加Q或微信 2589053300 (即Q号又微信号)右上方扫一扫可加博主微信
所写所说,是心之所感,思之所悟,行之所得;文当无敷衍,落笔求简洁。 以所舍,求所获;有所依,方所成!

