当你访问一个网站时，突然弹出一个红色警告：“此网站的证书不受信任”，是不是瞬间心头一紧？别慌！这其实是SSL/TLS握手过程中常见的“证书未受信任”错误。今天我们就用大白话+实际案例，带你彻底搞懂它的原理和解决方法。

一、为什么会出现“证书未受信任”？

想象你要去银行汇款，柜员递给你一张身份证说：“这是收款人”。你一看：证件是自己手写的，没有公安局盖章——这就是“证书未受信任”的本质：浏览器无法验证对方身份的真实性。

? 典型场景举例：

1. 自签名证书（就像自己手写身份证）

比如公司内网用的https://oa.company.com，管理员自己签发的证书，浏览器自然会报警。

2. 证书链断裂（像缺了户口本的家族证明）

中级CA证书未安装（例如老旧Android手机访问新站点），就像只看到“XX市派出所”的章，但找不到“省公安厅”的上级证明。

3. 根证书过期（类似公安局公章失效了）

2025年Symantec根证书过期事件导致大量旧设备报错，就像2025年还用2010年的防伪技术验钞。

二、技术原理大白话版

SSL握手就像一场加密版的“接头暗号”确认：

1. 浏览器：“我要连Gmail”（ClientHello）

2. 服务器：“这是我的身份证（证书），上面有Google的签名”（ServerHello）

3. 关键步骤：浏览器检查身份证是否由它信任的CA（如DigiCert）签发，就像查证件是否由正规公安局发放。

当出现“未受信任”，说明在第3步卡住了。用快递比喻：

- ? 正常流程：顺丰（CA）→快递员（服务器）→你（浏览器）

- ? 异常情况：一个自称顺丰的人（自签名）没穿工服就来了

三、5种实战解决方案

方案1：安装缺失的中间证书（适用于企业网站）

```bash

用OpenSSL检查证书链是否完整

openssl s_client -connect example.com:443 -showcerts | grep -i "verify"

```

案例：某电商网站升级后iOS用户报错，发现是漏打包了Sectigo RSA中间证书。

方案2：手动信任自签名证书（适合开发环境）

Chrome操作路径：

`锁图标→证书→详细信息→复制到文件→导入到"受信任的根颁发机构"`

?? 注意：千万别在生产环境这样操作！相当于给所有自制身份证开绿灯。

方案3：更新操作系统根证书库

- Windows: `certmgr.msc` → 右键"受信任的根证书颁发机构" → 导入

- Mac: Keychain Access → System Roots → 拖入新证书

方案4：检查系统时间是否正确

2025年有用户发现所有HTTPS网站报错，最后发现是BIOS电池没电导致系统日期显示2005年——就像用过期验钞机查新人民币。

方案5：企业级解决方案（AD域推送）

```powershell

PowerShell批量部署内部CA证书

Import-Certificate -FilePath "C:\internal-ca.crt" -CertStoreLocation Cert:\LocalMachine\Root

四、开发者特别注意事项

1. 测试环境避坑指南

```nginx

Nginx错误配置示例（缺少intermediate）

ssl_certificate /path/to/site.crt; ?

正确写法

ssl_certificate /path/to/bundle.crt; ?

```

2. ACME客户端常见问题

Let's Encrypt签发的证书需要包含ISRG Root X1交叉签名，否则安卓7.1以下设备会报错。

五、终极安全建议

遇到这类警告时先问三个问题：

1. ??我是否在公共WiFi？（可能是中间人攻击）

2. ??是否为公司内网系统？（可能需要安装内部CA）

3. ?系统时间对吗？（最简单也最常被忽略）

如果是访问银行/支付宝等重要网站持续报错——立即停止访问！这可能是黑客在伪造钓鱼网站。

下次再见到“未受信任”提示时，你已经能像网安专家一样快速定位问题了。记住：SSL警告就像是互联网世界的“咳嗽声”，有时候只是感冒（配置失误），有时候却是重病的征兆（网络攻击）。

TAG:开始ssl握手证书还没有信任,ssl握手错误是什么意思,ssl握手协议,老人股骨骨折牵引好还是自己长好