无法信任此服务的 SSL 证书

Question

我们使用 Serverscan 扫描了我们的网站 acbd.com，报告显示“此服务的 SSL 证书不可信”。

我们正在使用 Comodo Premium SSL 通配符证书，它在我们的网站上运行良好，我们为 HTTPS 和 RDC 设置了相同的设置。 但是当我们扫描我们的网站以获取 PCI 合规性时，它会失败。 以下是 PCI 合规性扫描失败的完整详细信息：

应用：https
端口：443
协议：tcp
增值税号：51192
简介：
无法信任此服务的 SSL 证书。
描述 ：
服务器的 X.509 证书没有来自已知公共证书颁发机构的签名。 这种情况可能以三种不同的方式发生，每一种都会导致证书不可信的链中断。
首先，服务器发送的证书链的顶部可能不是来自已知的公共证书颁发机构。 当链的顶部是无法识别的自签名证书时，或者缺少将证书链顶部连接到已知公共证书颁发机构的中间证书时，可能会发生这种情况。
其次，证书链可能包含在扫描时无效的证书。 这可能发生在扫描发生在证书的“notBefore”日期之一之前或证书的“notAfter”日期之一之后。
第三，证书链可能包含与证书信息不匹配或无法验证的签名。 错误的签名可以通过让具有错误签名的证书由其颁发者重新签名来修复。 无法验证的签名是证书颁发者使用 Nessus 不支持或无法识别的签名算法的结果。
如果远程主机是生产中的公共主机，则链中的任何中断都会使用户更难以验证 Web 服务器的真实性和身份。 这可以更容易地对远程主机进行中间人攻击。

解决方案 ：

为此服务购买或生成适当的证书。
CVSS 基础分数：6.4
(CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N)
插件输出：
以下证书是远程主机发送的证书链的一部分，但具有使用 Nessus 无法识别的算法的签名：

我无法理解这一点。 你能详细说明一下吗？ 据我了解，Comodo Premium SSL 通配符证书不受信任。

请告诉我为什么它在 PCI 合规性测试中失败。 为什么显示“此服务的 SSL 证书不可信”？

怎样才能通过 PCI 合规性测试？

Answer 1

如果扫描服务失败但浏览器接受证书，则可能是这样的：“......或者当中间证书丢失时......”。 根据https://www.ssllabs.com/ssltest/检查您的服务器，您可能会获得更多信息。