为什么无法验证根证书？

如果您在建立到信任根颁布的证书链时遇到问题，可能是由于以下原因之一：

过期的证书：证书有一个有效期限，一旦过期就会失去信任。确保您使用的证书没有过期，并检查您系统的时间和日期设置是否正确。

证书链不完整：要验证一个证书，您需要沿着证书链验证每个证书，从服务器证书一直到根证书。如果缺少中间证书或根证书，那么就无法建立完整的证书链。确保您拥有服务器证书、中间证书和根证书的完整集合。

证书损坏或无效：检查您的证书文件是否完整且没有损坏。尝试使用其他证书进行验证，以确定问题是否在证书本身。

根证书不受信任：您的系统可能没有将根证书添加到受信任的根证书存储中。根证书用于验证证书链中的根颁布机构的信任。确保您的系统具有正确的根证书，并将其添加到受信任的根证书存储中。

中间证书链不正确：如果您使用的是中间证书链，请确保您按照正确的顺序将中间证书链接在一起，并在服务器证书中正确引用它们。

安全连接问题：如果您在建立到服务器的安全连接时遇到问题，可能是由于防火墙、代理服务器或网络配置问题。检查您的网络设置，并确保没有任何阻止或干扰安全连接的问题。

如果您仍然无法解决问题，建议与您的证书颁布机构或系统管理员联系，以获取更多的支持和指导。

考虑是你的系统文件问题导致的

可能是由于系统文件错误导致的

个人建议如果能够进入系统就用杀毒软件进行修复

如果不能进入系统就进入安全模式

如果以上方法都不行就只能进行系统统重装了

考虑是软件不兼容或者是系统问题导致的

如果是这样那么就首先卸载软件

如果不行就需要系统重装

如果还不行就考虑是硬件问题或者其他的设置问题考虑是驱动问题或者是你的电脑硬件问题 也有可能是系统问题

你尝试重装一下驱动试试

如果不行就重装系统一下试试

如果还不行就需要送去维修店检修硬件了

HTTP协议传输数据是明文传输，任意的人抓包就能看到传输的数据，这显然不安全。1994年，Netscape公司用加密协议增加了HTTP，开始在HTTP的基础上加入SSL（Secure Socket Layer）。称为"HTTP over SSL"或者"HTTP Secure"，也就是我们现在熟知的HTTPS。

TLS（Transport Layer Security，传输层安全协议）是IETF制定的一种新的协议，TLS10是建立在SSL30协议规范之上，是SSL30协议的后续版本，可以理解为SSL31。

SSL/TLS分为对称加密和非对称加密两种方式。

对称加密是指加密和解密都用同一份密钥（只有一个KEY），常见的有：AES-128，AES-192，AES-256。

非对称加密对应于一对密钥，称为私钥和公钥，用私钥加密后需要用公钥解密，用公钥加密后需要用私钥解密，常见的有：RSA、DSA/DSS。

对称加密的优点是运算速度快，缺点是互联网环境下无法将密钥安全的传送给对方。非对称加密的优点是可以安全的将公钥传递给对方，但是运算速度慢。

https先采用非对称加密传输协商对称加密的密钥，然后用对称加密通信。

HTTPS的非对称和对称加解密过程：

客户端通过发送Client Hello消息给服务器初始化Session连接，Client Hello 消息包含以下字段：

SSL/TLS 版本号。version 2 表示的是SSL 20，version 3 表示的是SSL 30，version 31表示的是TLS 10。

随机数Random_C。一共32个字节。前面4个字节是当前时间戳，后面28个字节是一个随机数。后面协商对称加密的Session Key会用到。

Session ID。如果是之前已经存在的连接重连，那么Session ID会是一串数字，否则是None。

Cipher Suite。支持的加密组件列表。例如TLS_RSA_WITH_DES_CBC_SHA, TLS 是TLS协议版本，TLS表示TLS10，RSA是密钥交换算法，DES_CBC是加密算法，SHA是摘要算法。

压缩算法。表示建议选用的是哪种压缩算法。

Server Hello 服务器收到客户端的Client Hello 消息会响应一个Server Hello 消息，包括以下字段：

SSL/TLS 版本，客户端和服务器都支持的SSL/TLS最高版本。

随机数Random_S，一共32个字节，前面4个字节是当前时间戳，后面28个字节是一个随机数。后面协商对称加密的Session Key会用到。

Session ID，这里会有三种情况。1产生一个新的Session ID，表示没有找到之前的Session ID或者之前没有这个Session ID。2 返回客户端带上的之前的Session ID。（断链重连）3Null，服务器没有办法产生新的Session ID。

Cipher Suite，服务器从刚才Client Hello消息的Cipher Suite加密列表中选中的加密组件。

压缩算法，表示选中的是哪种压缩算法。

服务器发完Sever Hello 后还会发送下面几条消息：

Server Certificate服务器发给客户端的证书，包含公钥。客户端后面会用该密钥加密premaster secret。客户端也会校验证书的合法性，比如证书包含的域名是否就是客户端正在访问的域名。

Server Key Exchange[可选]当服务器的证书不包含公钥时，客户端会用它来加密后面的Client Key Exchange消息。

Client Certificate Request[可选]用于服务器需要验证客户端身份的情况，例如银行系统通常用U盾来证明客户端的身份。

Server Hello Done表示Server已经发送消息完毕并且在登陆客户端回复。

客户端紧接着响应给服务器的消息：

Client Certificate[可选]客户端证书，包括客户端的公钥。响应上面的Client Certificate Request。

Client Key Exchange该消息包括premaster secret,TLS的版本号，再次带上版本号是因为之前的版本号是明文传输的，攻击者可能会恶意修改为较低的版本号，从而降低连接的安全系数方便发起攻击。该消息字段会用公钥加密。现在一共有Random_C,Random_S, premaster secret三个随机数，客户端和服务器端会用相同的算法，用这三个随机数作为参数，从而计算得到另外的一个随机数，即后面对称加密的密钥Session Key。

Certificate Verify[可选]该消息只针对有Client Certificate的情况。会计算出该消息字段的HASH，然后用客户端的私钥加密该HASH作为签名。服务器端会使用Client Certificate消息中得到的客户端公钥解密并验证这条消息的合法性。

Change Cipher Suite该消息通知服务器接下来的Client Finish消息将会用刚才协商的密钥Session Key来加密。

Client Finished该消息会列举客户端上面用到的所有加密字段，并且算出他们的HASH值，然后用Session Key加密。

服务器在握手阶段最后回应给客户端的消息：

Change Cipher Suite Message该消息通知客户端接下来的消息会用Session Key来加密。

Sever Finished Message 对整个协商阶段用到的字段算一个HASH，然后用Session Key加密。

在握手过程中，网站会向浏览器发送SSL证书，SSL证书和我们日常用的身份证类似，是一个支持HTTPS网站的身份证明，SSL证书里面包含了网站的域名，证书有效期，证书的颁发机构以及用于加密传输密码的公钥等信息，由于公钥加密的密码只能被在申请证书时生成的私钥解密，因此浏览器在生成密码之前需要先核对当前访问的域名与证书上绑定的域名是否一致，同时还要对证书的颁发机构进行验证，如果验证失败浏览器会给出证书错误的提示。

如上图所示，公钥内容的后面是会跟上一个数字签名，该数字签名是将公钥内容的HASH用私钥加密后的密文。客户端拿到公钥后，会用相同的HASH算法重新算一遍，得到一个HASH值hash1。然后用公钥解密数字签名得到HASH值hash2，如果hash1等于hash2就证明这个公钥是没有被中间人修改的。即使中间人修改了公钥的内容，他也没有私钥可以重新生成数字签名，用户拿到修改后的公钥一算发现HASH不对就会报错。

对HTTPS最常见的攻击手段就是SSL证书欺骗或者叫SSL劫持，是一种典型的中间人攻击。不过SSL劫持并非只是用于攻击目的，在一些特殊情况下利用SSL劫持我们可以更顺畅的访问网络，我会在后文提到。

以攻击为目的的SSL劫持如果不注意浏览器安全提示的话，很容易就中招。当网络中有中间人发起SSL劫持攻击时，攻击者需要伪造一个SSL证书发给浏览器，这个时候由于伪造的SSL证书不受信任，浏览器会给出提示。

为了解决单个文件大，延迟性高等问题，迎来了新的解决方案Onlie Certificate Status Protocol（以下简称OCSP）。

在RFC2560 X509 Internet Public Key Infrastructure Online Certificate Status Protocol – OCSP 的描述中，浏览器从在线OCSP服务器（也称为OCSP Response Server）请求证书的撤销状态，OCSP Server予以响应。这种方法避免CRL更新延迟问题。同样的，X509 v3证书的OCSP信息也是存储在拓展信息中。

浏览器在获得Web服务器的公钥证书后，开始验证公钥的合法性，这里会向该公钥的扩展信息中提供的OCSP Server地址发送OCSP Response，获得响应后，确认证书有效，再继续跟Web服务器通信。

OCSP优点：相对于CRL方式，证书吊销后，CA Server可以立刻将吊销信息发送给浏览器，生效时间快。响应包内容短，不像CRL的响应包，都将近1M以上。

OCSP缺点：

浏览器的每次HTTPS请求创建，都需要连接CA OCSP Server进行验证，有的浏览器所在IP与CA OCSP Server的网络并不是通畅的。而且，OCSP的验证有网络IO，花费了很长的时间，严重影响了浏览器访问服务器的用户体验。

在浏览器发送服务器HTTPS证书序号到CA OCSP Server时，也将暴露了用户的隐私，将用户访问的网址透漏给了CA OCSP Server。

《你不在意的HTTPS证书吊销机制》( https://zhuanlanzhihucom/p/75475419 )

《HTTPS与SSL证书概要》（ https://zhuanlanzhihucom/p/75475419 ）

《HTTPS详解》（ https://wwwcnblogscom/makelu/p/11140824html ）

服务器证书是SSL数字证书的一种形式，通过使用服务器证书可为不同站点提供身份鉴定并保证该站点拥有高强度加密安全。它的用处归纳如下：

1）实现信息加密传输

用户通过http协议访问网站时，浏览器和服务器之间是明文传输，这就意味着用户填写的密码、帐号、交易记录等私密信息都是明文，随时可能被黑客窃取、篡改、泄露、或者贩卖，随时可能对我们的人身和财产安全造成不可估量的影响。而在安装SSL证书后，我们与浏览器之间的信息传输使用Https协议加密，可激活客户端浏览器到网站服务器之间的"SSL加密通道"（SSL协议），实现高强度双向加密传输，防止传输数据被泄露或篡改，保证网站信息传输和用户隐私信息安全。

2）识别服务器真实身份

钓鱼欺诈网站泛滥，用户如何识别网站是钓鱼网站还是安全网站？网站部署全球信任的赛门铁克SSL证书以后，浏览器内置安全机制，实时查验证书状态，通过浏览器向用户展示网站认证信息，让用户轻松识别网站真实身份，防止钓鱼网站混淆视听。

3）应用领域及其广泛

SSL证书主要用于发送安全电子邮件、访问安全站点、网上招标与投标、网上签约、网上订购、安全网上公文传送、网上办公、网上缴费、网上缴税以及网上购物等安全的网上电子交易活动。一般说来，在网上进行电子商务交易时，交易双方需要使用数字签名来表明自己的身份，并使用数字签名来进行有关的交易操作。随着电子商务的盛行，ssl证书为电子商务的发展提供可靠的安全保障。

服务器证书也就是我们常说的SSL证书。具体的SSL证书申请流程如下：

一、提交CSR文件

首先需要生成SSL证书申请文件CSR。选择要申请的SSL证书，提交订单，并将制生成的CSR文件提一起交到所在的SSL CA颁发机构。

二、提交订单到证书服务机构CA

在收到SSL证书订单和证书请求CSR文件后，系统初步验证无误自动提交订单到证书服务机构CA。

三、发送验证邮件到管理员邮箱

SSL证书服务CA机构在收到证书申请文件CSR 文件系统自动发送验证邮件到域名管理员邮箱。

四、用户确认验证邮件

进入邮箱后，点击邮件中的链接访问证书服务机构验证网站，查看订单信息，确认无误后点击确认完成邮件验证。

五、证书机构签发证书

域名型证书DV SSL一般在用户完成确认验证邮件后1－24小时签发证书；企业型证书OV SSL 与 增强型证书EV SSL需要证书服务机构人工验证，验证时间比较长，需要1-7个工作日验证通过后签发证书；成功签发的证书通过邮件发送到用户订购邮箱，也可登录用户中心查询证书，这样网站就能够成功使用SSL证书了。

一般说来，在网上进行电子商务交易时，交易双方需要使用数字签名来表明自己的身份，并使用数字签名来进行有关的交易操作。随着电子商务的盛行，数字签章的颁发机构 CA中心将为电子商务的发展提供可靠的安全保障。