正在试图写一个ssl的检测工具 doit-ssl-checker , 顺便使用工具对 https://www.macx.cn 进行测试.
居然返回错误!
# yongfu @ yfmac in ~/git/gitee.com/RickieL/doit-ssl-checker on git:master x [20:45:41]
$ go run main.go -d www.macx.cn -l
[error]: x509: certificate signed by unknown authority
说证书是被未知机构颁发的或者是自签名的证书.
好家伙, 赶紧用chrome进行打开, 嘿嘿嘿, 没问题呀, 打开一切正常. 
有点自我怀疑了, 难道是我写的工具有问题?
用firefox打开试试, 出现了一个大大的告警. 
和我的工具显示的错误类似, 进一步检查Firefox, 地址栏上的锁有一个感叹号, 点击感叹号. 
点击 "箭头" 后, 再点击 "更多信息" 
再点击 "查看证书", 
可以直接查看 www.macx.cn 的证书了.
和正常的网址对比, 可以发现, 应该是 www.macx.cn 只提供了自己的域名证书, 没有把对应的颁发机构的证书一起配置在服务器上. 但是firefox和我的ssl检测工具 doit-ssl-checker 会对颁发机构的证书进行验证. 嗯, chrome和safari没有去获取这个证书, 所以可以正常打开网页.
然后通过chrome的审查元素, 发现macx.cn的webserver使用的是Apache的服务器, 一开始还担心是CDN的ssl证书配置问题, 然后对 www.macx.cn 进行nslookup和dig后发现, 居然没有上CDN, 那解决起来就比较简单了. 直接在webserver上加上中间证书就行了.
但是我不这个站的管理员, 没有权限, 也加不了, 罢了罢了.
解决方法:
- 获取你的ssl证书的证书链文件 ( 可以到证书颁发机构去下载, 也可以到https://www.myssl.cn/tools/downloadchain.html 进行下载证书链)
- 在Apache服务器上的ssl配置部分加上SSLCertificateChainFile /etc/httpd/cert/2594646_jiandanji.fun_chain.crt #替换成你的证书链文件路径
推荐阅读:
南阳在哪