我的理解是,我們正在使用的瀏覽器,內置了一個可信任的證書發行方的名單,如果你的證書的發行公司在這個名單裏面,那下一步,瀏覽器就調用那個公司的數據,拿到公鑰之類的東西,之後驗簽,成功的話,那你的域名所解析的主機就是你用SSL證書確認過的那個主機。
大体意思是对的,但是不需要额外调该公司的 API 获取公钥,SSL 证书的全名是「数字公钥证书」,也就是说根证书里面就包含了公钥。此外根证书的有效期都在 10 年以上,目的就是确保你机器的生命周期内,基本不需要更新这些证书。如果证书确实需要更新,一般是由操作系统更新或者浏览器自己的更新来下载新的根证书。
ejsoon 因此,如果你的browser瀏覽器的版本太舊,一些新晉的SSL證書公司就不在它的名單裏面,即使你上傳證書的過程無誤,它也無法驗證。(不知理解的對不對)
二花 证书失效涉及很多可能: 1. 电脑的时间不对,比如 2022 年申请的证书,但是你电脑的时间还是 2021 年,或者被改成了 2032 年,这都是不在证书有效期范围内,都会导致 TLS 握手失败 ...