一、证书本身的有效性问题

1. 证书已过期或未生效

• 原理：SSL 证书包含明确的起止时间（如 2024-01-01 至 2025-01-01），系统会通过设备时间校验是否在有效期内。

• 场景：

• 管理员忘记续费，证书超过 “到期日” 后自动失效。

• 设备时间被手动修改（如调至未来日期），导致证书被提前判定为 “过期”。

2. 证书被 CA 吊销（Revocation）

• 原理：CA（证书颁发机构）发现证书存在安全风险时（如私钥泄露、域名被恶意注册），会将证书加入 CRL（证书吊销列表）或 OCSP（在线证书状态协议）黑名单。

• 场景：

• 网站服务器私钥泄露，管理员主动申请吊销旧证书。

• 证书被伪造或用于非法用途，CA 强制吊销。

3. 证书未正确签发或为自签名证书

• 原理：

• 自签名证书（非 CA 签发）未经过第三方信任验证，默认不被浏览器信任。

• CA 签发证书时若流程出错（如密钥对不匹配），证书会被系统标记为无效。

• 场景：企业内部测试网站使用自签名证书，未导入用户设备信任库。

二、证书与访问域名不匹配

1. 域名绑定错误

• 原理：证书的 “主题备用名（SAN）” 需包含实际访问的域名，否则浏览器会报错。

• 场景：

• 用www.example.com的证书部署在example.com域名下，二者未同时绑定。

• 泛域名证书（如*.example.com）无法匹配二级域名sub.sub.example.com。

2. 多级域名或端口号引发的匹配问题

• 特殊情况：

• 域名包含端口号时（如https://example.com:8443），证书无需匹配端口，但需确保域名正确。

• 国际域名（如.中国）未正确编码，导致证书域名与实际访问域名不一致。

三、证书链信任链断裂

1. 中级证书缺失或部署顺序错误

• 原理：SSL 证书链需从服务器证书→中级证书→根证书完整链接，缺少中级证书会导致信任链断裂。

• 案例：服务器仅部署了服务器证书，未安装 CA 提供的中级证书，浏览器无法追溯到根证书信任源。

2. 根证书未被设备信任

• 原理：用户设备的根证书库（如 Windows 证书存储、浏览器信任列表）需包含 CA 的根证书，否则无法验证证书链。

• 场景：

• 小众 CA 的根证书未被主流操作系统收录（如自建 CA）。

• 设备系统过旧，未更新最新的根证书（如 Windows 7 未安装 2020 年后的根证书更新）。

四、服务器配置或加密协议问题

1. TLS 协议版本或加密算法不兼容

• 原理：服务器若禁用最新协议（如 TLS 1.2/1.3）或使用弱加密算法（如 RC4），会被浏览器判定为不安全。

• 场景：

• 老旧服务器仍使用 SSL 3.0 协议，因存在 POODLE 漏洞被现代浏览器禁止访问。

• 加密套件配置错误（如优先使用 SHA-1 哈希算法），被浏览器标记为 “不安全”。

2. 服务器名称指示（SNI）配置错误

• 原理：SNI 用于多域名共享 IP 时的证书识别，若服务器未正确配置，会导致证书匹配失败。

• 场景：同一 IP 部署多个 HTTPS 网站，浏览器请求时服务器返回错误的证书。

五、用户设备或网络环境异常

1. 设备时间或时区错误

• 常见问题：电脑 BIOS 电池失效导致时间重置，或时区设置错误（如北京时区设为伦敦），使证书有效期校验失败。

2. 缓存或证书数据冲突

• 原理：浏览器缓存了旧证书或错误的信任状态，覆盖当前有效证书。

• 解决方向：清除浏览器缓存、删除已保存的证书记录（如 Chrome 的chrome://settings/security）。

3. 网络中间人攻击篡改证书

• 场景：

• 公共 WiFi（如机场、酒店）的代理服务器伪造证书，进行流量监控。

• 企业防火墙或家长控制软件拦截 HTTPS 流量，替换为自签名证书。

六、其他特殊情况

1. 证书格式或编码错误

• 原理：服务器部署的证书文件（如.pem、.crt）格式损坏或编码错误，无法被正确解析。

• 排查方法：使用 OpenSSL 工具验证证书文件完整性（如openssl x509 -in cert.pem -text）。

2. 证书扩展字段（Extension）违规

• 技术细节：证书若缺少必要扩展（如keyUsage、extendedKeyUsage）或包含非法字段，会被浏览器拒绝。

• 案例：服务器证书未声明serverAuth扩展，无法用于 HTTPS 服务。

总结：无效证书的核心风险与应对逻辑