本文旨在解答关于SSL/TLS的常见问题,帮助您更好理解相关的概念、功能、应用场景等。
网站提示证书风险如何处理?
问题描述
在边缘安全加速 ESA控制台上已经为域名配置了HTTPS证书,使用电脑浏览网站时,仍提示证书风险。
可能原因及处理方法
证书已过期:您需要为证书续费,续费成功后在ESA控制台上及时更新证书。如果您是在阿里云SSL证书产品中购买的证书,请参见SSL证书续费与到期处理进行续费操作,并更新证书。
系统时间不正确:检查电脑的系统时间是否正确,系统时间不正确会导致证书过期或校验不成功,从而提示证书风险。您需要将系统时间修改正确后再尝试浏览网站。
使用了自签名HTTPS证书:由自己生成的、非CA机构颁发的证书,称为自签名证书。自签名HTTPS证书,不受各大电脑浏览器信任,容易被仿冒和遭受中间人攻击,因此会有风险提示。建议更换成由可靠的CA机构签发的HTTPS证书,您可以在阿里云SSL证书产品上选购证书。
网页内有HTTP链接资源,即网页使用了HTTP协议的链接:将HTTP协议链接修改为HTTPS协议链接进行访问。
TLS版本过低:SSL/TLS中有六种协议,分别是SSLv2、SSLv3、TLSv1.0、TLSv1.1、TLSv1.2、TLSv1.3,TLSv1.2和TLSv1.3是目前公认的安全的协议,您需要在ESA控制台关闭低版本的TLS协议,启用TLSv1.2或TLSv1.3协议。具体操作,请参见配置TLS版本与加密套件。
使用了加密强度低的加密套件:建议您使用128位的AES-GCM加密算法进
ESA免费证书到期后如何处理?
ESA支持对免费证书进行自动续签且不会影响域名已部署的原证书:
自动续签时间:在免费证书到期前的15天,ESA会尝试对证书进行自动续签,无需重新申请也不会消耗证书个数。
续签失败的风险:由于免费证书由Let's Encrypt签发,可能存在一定的续签失败风险(如域名解析异常、验证失败等)。
如果自动续签失败,ESA会通过短信和邮件通知您。此时,您需要手动上传新的证书,以免影响业务。
什么是HTTPS?
超文本传输安全协议HTTPS(Hypertext Transfer Protocol Secure),是一种在HTTP协议基础上进行传输加密的安全协议,能够有效保障数据传输的安全。HTTP协议以明文方式发送内容,不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道,简单来说,HTTPS是HTTP的安全版,即将HTTP用SSL或TLS协议进行封装,HTTPS的安全基础是SSL或TLS协议。HTTPS提供了身份验证与加密通讯方法,被广泛用于万维网上安全敏感的通讯,例如交易支付。当您在ESA上配置HTTPS时,可以参考SSL/TLS快速上手将证书部署在全网ESA节点,实现全网数据加密传输。