如果我在Chrome访问BT的网站,我得到这个… http://imgur.com/b05alsX它看起来像证书已过期。 (类似于Firefox)
英国电信宣称不是。 https://twitter.com/BTCare/status/440405157999030272
事实上,这个网页http://www.digicert.com/help/表示,对于“www.bt.com”,“2014年9月24日(从今天起205天)
我昨天看到的这个设备之一现在没有显示错误。 但我的一些设备仍然是。 我的一个朋友没有问题。 基本上有些工作,有些则不。
这是怎么回事?
注意我不为英国电信工作,我只是使用他们的服务之一。 正如我在自己的服务器上使用SSL证书,我很想知道发生了什么事情。
旧的证书caching在什么地方? 这个caching在哪里? 英国电信的服务器级别(可能是负载平衡器什么的),ISP,DNS,设备?
提前致谢!
我曾经见过这种情况,即使有问题的SSL证书在其有效期内,应用程序或浏览器也无法build立SSL证书过期的警告,但实际上失败的testing例程不是而是整个信任链 – 这有时被称为“同行validation”例程。
这可能是因为您信任其中一个中间证书的旧版本 – 在这种情况下,SSL证书不是过期的,而是您的客户端构build的用于testing证书有效性的一个证书:
(3) --- Verisign Root CA (2) --> Verisign top Intermediate CA (1) --> Verisign Issuing CA (0) --> SSL Certificate 如果您的计算机只有Verisign根CA证书(3)存放在可信的CA证书库中,则它将依赖于www.bt.com:443网站服务器发送的中间证书链
如果链中的中间体 – 证书(2)和/或(1)已经被更新的证书重新签发/replace,但是您的中间信任库中存储了以前版本的这些证书,则客户可能会试图构build如果使用其中之一,则会失败,如果失效,将会失败
您可以查看Chrome信任的证书:
chrome://settings/ (或点击右上angular的自定义button并select设置) 从这里,您应该能够导入新的证书,并删除旧的证书。
要查看Web服务器在链中显示的实际证书,请使用openssl:
openssl s_client -connect www.bt.com:443 -showcerts