在部署 SSL 后，如果浏览器仍然显示 “连接不安全” 或 “Not Secure”，通常是由以下几种原因导致的。

针对每种可能的原因和问题，以下提供了详细的排查和解决方案。

1. 排查问题的可能原因

1.1 SSL 证书未正确安装

如 SSL 证书安装不完整或配置错误，浏览器会显示连接不安全。

解决方法：

一、验证证书安装是否正确

使用在线工具检查是否正确安装了证书，例如：

• SSL Labs SSL Test

• DigiCert SSL Checker

二、检查证书链是否完整：

• 确保安装了中间证书（Intermediate Certificate）。大多数 SSL 证书需要服务商提供的中间证书来建立完整的信任链。

• 如果中间证书未正确配置，请重新下载中间证书并安装。

三、重新部署 SSL 证书：

• 在服务器上重新部署 SSL 证书，确保配置文件中包含私钥（Private Key）、证书文件（Certificate）和中间证书。

1.2 网站仍允许 HTTP 访问

即便 SSL 部署成功，如果网站的资源（如图片、CSS、JS 文件）在加载时仍通过 HTTP 协议访问，浏览器会认为连接不完全安全。

解决方法：

一、强制重定向到 HTTPS

配置服务器，将所有 HTTP 请求自动跳转到 HTTPS：

• Nginx 配置：nginx

server {
    listen 80;
    server_name yourdomain.com;
    return 301 https://$host$request_uri;
}

• Apache 配置：在 .htaccess 文件中添加：apache

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

二、更新资源链接为 HTTPS：

• 确保网页中的所有资源（如图片、CSS、JS 文件）都通过 HTTPS 加载。

• 使用 浏览器开发者工具（F12 > Console）检查是否存在 Mixed Content（混合内容）警告。

三、使用相对 URL：

• 将资源的绝对 URL（如 http://example.com/image.jpg）替换为相对 URL（如 /image.jpg），避免强制指定 HTTP。

1.3 未配置正确的域名或子域名

SSL 证书仅对特定域名有效。如果用户访问的域名（如 www.example.com）未包含在证书中，浏览器会警告不安全。

解决方法：

一、确认证书支持的域名

• 检查证书是否覆盖所有需要的域名（如 example.com 和 www.example.com）。

• 如果使用子域名，确保使用了 通配符证书（Wildcard SSL，如 *.example.com）。

二、更新访问 URL：

• 确保用户访问的域名与 SSL 证书中配置的域名一致。

三、重新申请证书（如有必要）：

• 如果证书不支持当前访问的域名或子域名，请重新申请包含所有需要域名的 SSL 证书（如多域名证书）。

1.4 使用了过期、吊销或无效的 SSL 证书

如果 SSL 证书已过期、被吊销或不是可信机构颁发的，浏览器会显示不安全。

解决方法：

一、检查证书有效期：确保证书在有效期内。如果证书已过期，需重新申请并部署新的 SSL 证书。

二、检查证书是否被吊销：使用在线工具或证书吊销检查（CRL 或 OCSP）验证证书状态。

三、使用可信颁发机构的证书：确保使用由可信的 CA（证书颁发机构）颁发的证书，例如 Let’s Encrypt、DigiCert、GlobalSign 等。

1.5 未开启 HTTPS/SSL 配置的强制规则

即使 SSL 部署正确，如果服务器未启用某些增强安全的配置，浏览器可能会显示连接不完全安全。

解决方法：

一、启用 HSTS（HTTP Strict Transport Security）

配置服务器强制使用 HTTPS：

• Nginx 配置：nginx

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

• Apache 配置：apache

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

HSTS 可告知浏览器始终通过 HTTPS 访问网站，从而避免安全警告。

二、启用 TLS 1.2 或更高版本：

确保服务器支持现代加密协议，例如 TLS 1.2 或 TLS 1.3，并禁用旧版本协议（如 SSL 3.0、TLS 1.0 和 TLS 1.1）。

• Nginx：nginx

ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;

• Apache：apache

SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1

三、配置强加密算法：

优化服务器的加密套件：推荐配置

ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-CHACHA20-POLY1305

1.6 本地缓存问题

如果以上配置均正确，但浏览器仍显示“不安全”，可能是由于浏览器缓存了旧版的 HTTP 页面。

解决方法：

一、清除浏览器缓存：

• 在浏览器中清除缓存和 Cookie 后重新访问网站。

二、尝试其他浏览器：

• 在其他浏览器中测试，以确认问题是否与缓存或特定浏览器相关。

2. 完整的排查和解决流程

检查证书安装：

• 使用 SSL 检查工具验证证书是否正确安装，确保证书链完整。

检查 HTTPS 重定向：

• 确保所有 HTTP 请求都重定向到 HTTPS。

修复混合内容问题：

• 使用浏览器开发工具检查是否存在通过 HTTP 加载的资源，并将其替换为 HTTPS。

验证域名匹配：

• 确保证书覆盖所有需要的域名（包括主域和子域）。

检查 TLS 配置：

• 确保服务器启用了现代加密协议（TLS 1.2 或更高版本）。

清理浏览器缓存：

• 清除浏览器缓存确保加载最新页面。

3. 常见工具推荐

SSL 检查工具：

• SSL Labs SSL Test

• DigiCert SSL Checker

混合内容检测：使用浏览器开发工具（F12 > Console）查看是否存在 Mixed Content 警告。

HSTS 检查：使用 HSTS Preload List Tool 验证网站是否正确启用了 HSTS。

4. 总结

如果 HTTPS 显示“不安全”，通常是以下几种问题：

• SSL 证书未正确安装或证书链不完整。

• 网页存在混合内容（HTTP/HTTPS 混用）。

• 域名未匹配 SSL 证书。

• 使用了过期或无效的 SSL 证书。

• 服务器未正确配置现代加密协议（如 TLS 1.2+）。

通过上述的排查和配置优化，你可以有效解决 HTTPS 显示“不安全”的问题，确保用户访问网站时的安全性和信任度。

参考文章：原文链接