我刚刚获得了一个新的SSL证书,这个证书以前被通配符SSL证书所覆盖。 它已经安装了一个多星期,大约有99%的用户没有问题。 现在只有一个或两个(我知道)得到一个“网站不受信任”的警告,所以我假设他们在连接时看到旧的证书。 有没有办法强制所有的浏览器使用新的SSL证书时,他们连接? (它在Ubuntu上是一个NGINX)
我假设你的证书有问题(如缺less中间证书),某些客户/浏览器的authentication链被破坏。
最佳做法是在将新证书安装到服务器后,使用外部工具检查SSL / TLS设置。
好的工具是Qualys SSL Labs或CryptCheck 。
请记住,Nginx没有中间证书的选项。 您必须将它们捆绑到一个文件中,并通过ssl_certificate选项提供。 这样的证书文件包含您的证书和所有必需的中间证书。
如果您喜欢使用OCSP,则有一个选项ssl_trusted_certificate,其大小与上面给出的文件相同,并加上CA的根证书。
其实ssllabs.com的回应是相当有帮助的。 有一个“附加证书(如果提供)”部分,它显示了您的证书文件的每个证书(一个,用ssl_certificate选项设置 )。 结合“authentication途径”一节,您可以看到不同的authentication途径以及哪些证书已被使用或哪些证书丢失。 你甚至可以看到哪一个过时了,如果你提供了太多。 您也可以使用SHA256指纹谷歌丢失的证书,下载并修复您的设置。