SSL证书错误如何修复？

遇到 SSL 证书错误，通常表现为浏览器提示“连接不安全”、“证书不受信任”或“协议不支持”等。修复这些问题需要系统性地排查，以下是针对常见 SSL 证书错误的修复指南：

1. 域名不匹配与证书过期
   这是最常见的错误原因。如果访问的域名（如 www.example.com 与 example.com）与证书绑定的域名不一致，浏览器会拒绝连接。此外，SSL 证书默认有效期通常为 1 年，过期后也会导致报错。
   修复方案：登录证书管理控制台或通过浏览器查看证书详情，确认证书绑定的域名与网站实际访问域名完全一致。如果域名不匹配或证书已过期，请重新申请并部署对应域名的新证书。
2. 证书链不完整
   SSL 证书通常由根证书、中间证书和域名证书组成。如果服务器配置时只部署了域名证书，遗漏了中间证书，会导致浏览器无法完成信任链的验证，从而提示“证书不受信任”。
   修复方案：重新下载 CA 机构提供的完整证书链文件（通常为 fullchain 格式），或将域名证书与中间证书按顺序合并后，重新配置到 Web 服务器中。
3. 网站存在“混合内容”
   当主网页已经使用 HTTPS，但代码中仍引用了 HTTP 协议的外部资源（如图片、CSS 样式表、JavaScript 脚本等），浏览器会判定页面存在安全隐患并拦截部分加载。
   修复方案：按 F12 打开浏览器开发者工具，在控制台（Console）中查找被拦截的 HTTP 资源链接。将这些资源的 URL 替换为 HTTPS 协议，或改为相对路径（如 /images/logo.png），以确保所有元素均通过加密通道加载。
4. TLS 协议版本或加密套件过旧
   现代浏览器已逐步弃用不安全的 SSL 2.0、SSL 3.0、TLS 1.0 或 TLS 1.1 协议。如果服务器仍在使用这些旧版本，会导致握手失败，提示“使用了不受支持的协议”。
   修复方案：修改 Web 服务器（如 Nginx 或 Apache）的配置文件，强制启用更安全的 TLS 1.2 或 TLS 1.3 协议，并配置兼容现代浏览器的加密套件。
5. 端口未放行或防火墙拦截
   HTTPS 默认使用 443 端口。如果服务器的安全组或防火墙没有放行该端口，或者 CDN/WAF 侧未同步更新证书，都会导致无法建立安全连接。
   修复方案：前往云服务器的安全组控制台，确保 443 端口已对外部访问开放。如果网站接入了 CDN 或 WAF，请同步更新对应平台上的 SSL 证书。
6. 客户端缓存或系统时间异常
   浏览器缓存了旧证书信息，或者服务器/客户端的系统时间与真实时间偏差过大，都可能导致证书状态被误判为“未生效”或“已过期”。
   修复方案：清理浏览器缓存，或使用无痕模式重新访问。同时，检查并同步服务器和客户端的系统时间。

如果经过上述排查仍无法解决，建议使用 SSL Labs 等在线检测工具生成详细报告，或查阅 Nginx/Apache 的错误日志（如 error.log），以精准定位底层配置问题。