老梁（蛤蟆哥）运维技术发表于：2025年03月19日

站点已部署https证书-支付不跳转检测SSL/TLS的服务显示证书链不完整，降级为6的解说

[重要通告]如您遇疑难杂症,本站支持知识付费业务,扫右边二维码加博主微信,可节省您宝贵时间哦!

最近几天，新网站有些不稳定，出现的问题不少，今天特意又搞个新的证书研究一下，用“内容分发网络CDN”就可以正常支付，但用IP里的地址支付，就不回调，代码肯定没有问题，就想到了是不是SSL证书标准问题，就想着抓紧检测一下；不检测不晓得，一检测，嚯嚯~~~

HTTPS检测工具\SSL安全评估检测地址： https://stool.chinaz.com/https/default.aspx

检测部署SSL/TLS的服务是否符合行业最佳实践，PCI DSS支付卡行业安全标准，Apple ATS规范。

一顿操作猛于虎，发现了很大的问题，我去，之前也遇到过，但没在意~~~这不是大坑的嘛~~如下所示

注意：证书链不完整，降级为6

其实一直没有想到到底是哪里问题，还是研究是不是免费证书不行，但是还是开头说的，因为用“内容分发网络 CDN”就可以，同一个证书，肯定还是出现在代码不完整上；

毕竟给的提示就是 “注意：证书链不完整，降级为6” 那就肯定是证书部署错误~~~

从SSL证书提供商处获取完整的CA信息

-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----

以下是您的CA证书：
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----

发现证书应该是三段的，并不是原始Apche两段的代码，然后抓紧操作一番~~~证书部署如下

.crt在最上面，大约为3KB，中间位置为“root_bundle.crt”，最下面为.csr，大约2KB，再来检测，如下图所示

经过操作一番，就正常了，也不显示证书链不完整了，最初明明是2段，现在坑货变成了三段，真是狗~~~

HTTPS配置指南：

1. 需要配置符合PFS规范的加密套件，推荐配置：
ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE ；
2. 需要在服务端TLS协议中启用TLS1.2，推荐配置：TLSv1 TLSv1.1 TLSv1.2 ；
3. 需要保证当前域名与所使用的证书匹配；
4. 需要保证证书在有效期内；
5. 需要使用SHA-2签名算法的证书；
6. 需要保证证书签发机构是可信的CA机构。
7. HSTS（HTTP严格传输安全）的 max-age 需要大于15768000秒。
8. 《 HTTPS 安全最佳实践》