如何测试某些访客的 SSL 证书是否失败

Question

对于我的一些网站访问者来说，SSL 证书失败了。无论我在各种浏览器上进行什么测试，SSL 证书都是有效的。

我想不出如何在客户端进行测试并找出问题。
你会怎么做？

一名客户收到：致命证书未知

Answer 1

虽然 RouMao 的答案大部分是正确的，但他忽略了 SSL 证书最常见的问题（IME） - 您使用的证书需要来自 CA 的临时证书，而您尚未将其包含在证书链中。大多数 CA 提供用于分析证书的在线工具 - 尝试位于此处的工具。

另外，与使用的浏览器有任何关联吗？值得注意的是，Chrome默认情况下不处理 SSL v2

Answer 2

大多数 SSL 证书失败都是由访问者自己造成的。不知何故无法通过服务器实现进行测试或验证。

以下是一些明显的示例：

1. 您的证书自 2012 年 4 月 1 日起生效，但客户端的本地计算机时间设置为 2010 年——比当前时间晚一年。在这种情况下，访问者应该一直遇到问题，直到他的机器时间晚于 2012 年 4 月 1 日。
2. 访问者位于受限制的防火墙后面。防火墙可以终止 SSL/TLS 连接并使用伪/自签名证书重新加密链接。事实上，这可以被视为中间人附加。
3. 受信任的根证书被客户自己删除了，

很难解决所有这些问题。有时，您需要创建一个客户端本机应用程序来检测或修复所有可能的问题，并要求客户端浏览器每次进入 HTTPS 模式之前都执行该应用程序。

PS 大多数电子银行应用程序都是这样做的。