瀏覽器是如何檢查SSL證書正常工作的？

來自專欄技術討論

瀏覽器通過檢查SSL是否由受信任的認證機構頒發，SSL證書是否和域名匹配，SSL證書是否過期或還未生效等方面來檢測SSL證書是否正常工作。

如果您能使用 https:// 來訪問某個網站，就表示此網站部署了 SSL 證書。但是瀏覽器是怎樣檢測SSL證書是否在正常工作的呢？下面我們就來探討一下SSL證書可能遇到的幾種情況：

1. SSL證書必須由「受信任的根證書頒發機構」頒發

SSL 證書必須由瀏覽器中 「受信任的根證書頒發機構 」 在驗證伺服器身份後頒發，具有身份驗證和加密傳輸雙重功能。SSL證書部署成功後就可以使用https://來訪問，瀏覽器地址欄會有安全鎖標誌。點擊小鎖標誌，再點擊「查看證書」就會顯示證書主要信息 (證書頒發者、證書頒發給、證書有效起始日期等)；再點擊「詳細信息」就會顯示此證書的詳細信息 ( 如：證書頒發者、證書主題、密鑰用法、吊銷列表 CRL 分發點、證書序列號等等 )

2. 部署了 SSL 證書的網站網頁不能有不安全因素

部署了 SSL 證書的網站正常情況下會自動顯示安全鎖標誌，但如果部署了 SSL 證書的網站有不安全因素就會有警告表明此頁面中含有指向其他沒有部署 SSL 證書的頁面，為了安全起見，建議您選擇 「 否 」 ，瀏覽器就不顯示不安全的內容，這些內容一般都是 Flash 動畫或 Java Script ，如果選擇 「 是 」 ，則瀏覽器不會顯示安全鎖標誌。

3. 如果SSL 證書不是由瀏覽器中「受信任的根證書頒發機構」頒發的，會有安全警告

對於 IE 瀏覽器，您可以瀏覽器的「工具」 – 「 Internet 選項」 – 「內容」 – 「證書」，就能看到 「 受信任的根證書頒發機構 」 ，表明 IE 瀏覽器能正常識別出這些證書頒發機構頒發的數字證書：

而如果 SSL 證書不是由瀏覽器中 「 受信任的根證書頒發機構 」 頒發的，則瀏覽器會有安全警告，警告信息為 「 此網站出具的安全證書不是受信任的證書頒發機構頒發的，安全證書問題可能顯示試圖欺騙您或截獲您向伺服器發送的數據，建議關閉此網頁，並且不要繼續瀏覽該網站。

4. 如果是瀏覽器能識別的 SSL 證書，則接著就要檢查此 SSL 證書是否已經被吊銷

如果是瀏覽器能識別的 SSL 證書，則接著就要檢查此 SSL 證書中的證書吊銷列表，如果此證書已經被證書頒發機構吊銷，則會顯示警告信息：「此組織的證書已被吊銷。安全證書問題可能顯示試圖欺騙您或截獲您向伺服器發送的數據。建議關閉此網頁，並且不要繼續瀏覽該網站。

5. 如果此證書沒有被吊銷，則接著會檢查此證書是否過期

如果此證書沒有被吊銷，則接著會檢查此 SSL 證書是否過期，如果證書已經過了有效期，則一樣會顯示警告信息：「 此網站出具的安全證書已過期或還未生效。安全證書問題可能顯示試圖欺騙您或截獲您向伺服器發送的數據。建議關閉此網頁，並且不要繼續瀏覽該網站。

6. 如果SSL 證書是在有效期內，則檢查部署SSL 證書的網站的域名是否與證書中的域名一致

如果此 SSL 證書是在有效期內，則檢查部署此 SSL 證書的網站的域名是否與證書中的域名一致，如果不一致，則瀏覽器也會顯示警告信息：「此網站出具的安全證書是為其他網站地址頒發的。安全證書問題可能顯示試圖欺騙您或截獲您向伺服器發送的數據。建議關閉此網頁，並且不要繼續瀏覽該網站。」

7. 如果以上都沒有問題， IE7 瀏覽器還會到欺詐網站資料庫查詢此網站是否已經被列入欺詐網站黑名單

如果以上都沒有問題， IE7 瀏覽器還會到欺詐網站資料庫查詢此網站是否已經被列入欺詐網站黑名單，如果是，則會顯示：「 IE 已發現一個已報告的仿冒網站。仿冒網站假冒其他網站並試圖欺騙您泄漏個人信息或財務信息。 建議關閉此網頁，並且不要繼續瀏覽該網站。

推薦閱讀：