SSL证书部署到Web服务器后,如果浏览器提示连接不安全、无法访问页面或协议不受支持等错误,通常是证书过期、域名不匹配、端口未放行或TLS协议版本过低所致。本文针对各类浏览器错误提示,提供对应的排查步骤和解决方案。
可能原因:浏览器缓存未清理、SSL证书与域名不匹配或证书已过期。
解决方案:
清理浏览器缓存,然后重新访问网站。
确认SSL证书绑定的域名与网站实际访问域名一致。
登录数字证书管理服务控制台。
在左侧导航栏,选择证书管理 > SSL证书管理。
在SSL证书管理页面,找到已部署的证书,确认证书绑定的域名与站点域名一致。如不一致,请重新上传对应域名的证书。
访问网站域名,单击浏览器地址栏中的安全锁图标。
单击证书无效。
在证书详情页面,确认通用名称(CN)与网站域名一致。
确认SSL证书是否已过期。
SSL证书默认有效期为1年。如果非首次部署证书后通过HTTPS访问时提示不安全,需检查证书是否已到期。您可以通过以下两种方式查看证书有效期。
在SSL证书管理页面,找到已部署的证书,确认证书是否已过期。
如已过期,请及时续费证书,具体操作请参见SSL证书续费与到期处理。
在证书详情页面查看证书的到期时间。
确认SSL证书格式是否正确。
不同Web服务器支持的证书格式不同,详情请参见部署SSL证书。
可能原因:配置文件中的证书路径或证书文件名有误。
检查Web服务器配置文件中的SSL证书设置,确保指定的证书存储路径和文件名与服务器上实际存放的路径和文件名完全一致。以下为Nginx配置示例:
server { listen 443 ssl; server_name example.com; #请将以下路径替换为实际的SSL证书和私钥文件路径 ssl_certificate /etc/nginx/ssl/example.com.crt; ssl_certificate_key /etc/nginx/ssl/example.com.key; # 其他配置... }
可能原因:已购买新证书,但Web服务器仍在使用旧证书,或配置文件中的SSL证书路径未更新。
通过创建部署任务,将已签发的证书上传至云服务器的指定路径,或替换指定路径中的旧证书文件,具体操作请参见云服务器部署:部署 SSL 证书至 ECS/轻量应用服务器。
可能原因:443端口未放行。
如果使用阿里云ECS服务器,前往ECS管理控制台安全组页面放行443端口。配置安全组的具体操作请参见添加安全组规则。
使用默认端口访问网站时,HTTP(默认端口80)或HTTPS(默认端口443)可直接输入域名。使用非默认端口时,需在域名后附加端口号,格式为http://域名:端口号或https://域名:端口号。
http://域名:端口号
https://域名:端口号
确保HTTPS默认端口443已开放。使用非标准端口时,确认该端口已开放且未被其他服务占用。
如果已设置防火墙,检查防火墙规则,确保未阻止外部对443端口的访问。
如果使用非阿里云ECS服务器,请参照对应服务器的安全设置指南放行443端口。
可能原因:Web服务器配置错误。
检查Web服务器配置文件,确保SSL/TLS相关指令配置正确且已监听443端口。
检查配置文件是否存在语法错误。
可能原因:SSL证书已过期或未正确签发。
检查证书是否已过期。如已过期,请及时续费证书,具体操作请参见SSL证书续费与到期处理。
确认证书已正确签发,且绑定的域名与实际访问域名一致。
可能原因:DNS解析问题。
确认域名已正确解析到服务器IP地址。可使用ping或nslookup命令验证域名解析是否正常。
ping
nslookup
如果使用了CDN服务,确认CDN配置正确且未阻止HTTPS流量。
如上述方法均无法解决问题,可查阅Web服务器和应用程序日志获取更多信息。也可尝试从其他设备或网络环境访问网站,排除本地网络或设备问题。如有更多疑问,请联系产品技术专家进行咨询,详情请参见专家一对一服务。
可能原因:Web服务器使用了不安全的协议版本(如SSL 2.0、SSL 3.0、TLS 1.0或TLS 1.1),或Web服务器配置的TLS协议与操作系统支持的TLS协议不一致。
在Web服务器配置文件中启用更安全的协议版本(TLS 1.2或TLS 1.3)。以下为Nginx配置示例。请确保客户端支持已配置的TLS协议版本,否则可能导致连接失败。
server { listen 443 ssl; server_name yourdomain.com; # SSL证书和密钥路径 ssl_certificate /path/to/your_certificate.crt; ssl_certificate_key /path/to/your_private.key; # 设置支持的SSL/TLS协议版本 ssl_protocols TLSv1.2 TLSv1.3; # 可选:设置更安全的加密套件 ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256'; location / { root /var/www/html; index index.html index.htm; } }
确保服务器配置的加密套件与操作系统支持的TLS协议版本一致。不同操作系统的TLS协议设置方法不同,以下为Windows操作系统的设置步骤。
打开控制面板,单击网络和Internet。
在网络和Internet面板中,单击Internet选项,然后单击高级。
勾选TLS 1.2或TLS 1.3,以获得更好的安全性和兼容性。
可能原因:网站代码中引用了HTTP协议的资源。
将HTTP资源链接替换为HTTPS,确保所有外部资源(图片、脚本、样式表等)均通过HTTPS加载。
如果资源与网站在同一域名下,使用相对URL地址即可,浏览器会自动使用当前页面的协议加载资源。
确认第三方资源是否支持HTTPS。如不支持,请移除对应HTTP资源的引用,重新部署后访问网站验证。
不同网站代码的实现逻辑可能存在差异,请根据具体情况修改。如有疑问,请联系产品技术专家进行咨询,详情请参见专家一对一服务。
可能原因:未完成工信部ICP备案。
通过阿里云网络诊断工具查看网站是否已完成备案。
如果使用阿里云ICP代备案系统,前往阿里云备案系统进行网站备案,具体操作请参见ICP备案流程。
如果使用非阿里云ICP代备案系统,请前往对应备案服务商的系统完成网站备案。
