本文和大家分享的主要是HTTPS常見的部署問題及相應(yīng)的解決方案，希望通過本文的分享能幫助大家更好的學(xué)習(xí)https相關(guān)知識，一起來看看吧。

　　實際上，遇到任何有關(guān)部署 HTTPS 或 HTTP/2 的問題，都推薦先用 Qualys SSL Labs's SSL Server Test 跑個測試，大部分問題都能被診斷出來。

　　申請 Let's Encrypt 證書時，一直無法驗證通過

　　這類問題一般是因為 Let's Encrypt 無法訪問你的服務(wù)器，推薦嘗試 acme.sh 的 DNS 驗證模式 ，一般都能解決。

　　網(wǎng)站無法訪問，提示 ERR_CERTIFICATE_TRANSPARENCY_REQUIRED

　　使用 Chrome 53 訪問使用 Symantec 證書的網(wǎng)站，很可能會出現(xiàn)這個錯誤提示。這個問題由 Chrome 的某個 Bug 引起，目前最好的解決方案是升級到 Chrome 54+。

　　瀏覽器提示證書有錯誤

　　首先確保網(wǎng)站使用的是合法 CA 簽發(fā)的有效證書，其次檢查 Web Server 配置中證書的完整性（一定要包含站點證書及所有中間證書）。如果缺失了中間證書，部分瀏覽器能夠自動獲取但嚴重影響 TLS 握手性能；部分瀏覽器直接報證書錯誤。

　　如果只有老舊瀏覽器（例如 IE8 on Windows XP）提示這個錯誤，多半是因為你的服務(wù)器同時部署了使用不同證書的多個 HTTPS 站點，這樣，不支持 SNI（Server Name Indication）的瀏覽器通常會獲得錯誤的證書，從而無法訪問。

　　要解決瀏覽器不支持 SNI 帶來的問題，可以將使用不同證書的 HTTPS 站點部署在不同服務(wù)器上；還可以利用SAN（Subject Alternative Name）機制將多個域名放入同一張證書；當(dāng)然你也可以直接無視這些老舊瀏覽器。特別地，使用不支持 SNI 的瀏覽器訪問商業(yè) HTTPS CDN，基本都會因為證書錯誤而無法使用。

　　有關(guān) SNI 的更多說明，請看「 關(guān)于啟用 HTTPS 的一些經(jīng)驗分享（二） 」。

　　啟用 HTTP/2 后網(wǎng)站無法訪問，提示 ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY

　　這個問題一般是由于 CipherSuite 配置有誤造成的。建議對照「 Mozilla 的推薦配置、 CloudFlare 使用的配置 」等權(quán)威配置修改 Nginx 的 ssl_ciphers 配置項。

　　有關(guān)這個問題的具體原因，請看「 從啟用 HTTP/2 導(dǎo)致網(wǎng)站無法訪問說起 」。

　　網(wǎng)站無法訪問，提示 ERR_SSL_VERSION_OR_CIPHER_MISMATCH

　　出現(xiàn)這種錯誤，通常都是配置了不安全的 SSL 版本或者 CipherSuite —— 例如服務(wù)器只支持 SSLv3，或者 CipherSuite 只配置了 RC4 系列，使用 Chrome 訪問就會得到這個提示。解決方案跟上一節(jié)一樣。

　　還有一種情況會出現(xiàn)這種錯誤 —— 使用不支持 ECC 的瀏覽器訪問只提供 ECC 證書的網(wǎng)站。例如在 Windows XP 中，使用 ECC 證書的網(wǎng)站只有 Firefox 能訪問（Firefox 的 TLS 自己實現(xiàn)，不依賴操作系統(tǒng)）；Android 平臺中，也需要 Android 4+才支持 ECC 證書。如果是這種情況，有一個比較完美的解決方案，請看「開始使用 ECC 證書」。

　　在 Nginx 啟用 HTTP/2 后，瀏覽器依然使用 HTTP/1.1

　　Chrome 51+ 移除了對 NPN 的支持，只支持 ALPN，而瀏覽器和服務(wù)端都支持 NPN 或 ALPN，是用上 HTTP/2 的大前提。換句話說，如果服務(wù)端不支持 ALPN，Chrome 51+ 無法使用 HTTP/2。

　　OpenSSL 1.0.2 才開始支持 ALPN —— 很多主流服務(wù)器系統(tǒng)自帶的 OpenSSL 都低于這個版本，所以推薦在編譯 Web Server 時自己指定 OpenSSL 的位置。

　　詳見「 為什么我們應(yīng)該盡快支持 ALPN 」。

　　升級到 HTTPS 后，網(wǎng)站部分資源不加載或提示不安全

記住一個原則：HTTPS 網(wǎng)站的所有外鏈資源（CSS、JS、圖片、音頻、字體文件、異步接口、表單 action 地址等等）都需要升級為 HTTPS，就不會遇到這個問題了。

來源：JerryQu的小站