我们经常遇到无效证书，而且无效证书非常流行，很难找到没有遇到过这些证书的人。以下是几个根本原因。

• 配置错误的虚拟主机
  今天，多数网站只在端口80上运行且不使用加密。一个常见的配置错误是让这些明文网站和在443端口上使用加密的其他网站使用同一个IP地址。这样一来，如果用户尝试使用https访问明文网站的话，就会导致错误的发生：证书和域名不匹配。
  这个问题的部分原因是，在技术层面，我们没有一种机制可以使得网站来声明是否支持加密。从这个角度来看，托管明文网站的正确做法是让他们使用关闭了端口443的IP地址。
  在2010年，有数据统计，扫描了19亿个域名，寻找加密网站。扫描的列表包括所有的.com、.net和.org域名。我发现2265万（19%）的安全网站托管在大概200万个IP地址上。在这些安全网站中，只有72万个（3.2%）网站的证书和域名匹配。
  有一个名称正确的证书是一个好的开始，但是这还不够。大概30%的这类证书在2010年的调查中由于其他原因而实际是无效的（不受信）。
• 域名覆盖范围不足
  在少数场合下，网站管理员购买并部署了证书，但是证书中没有包含全部的网站域名。例如，你在example.com上运行了一个网站，证书可能包括这个域名以及example.com。如果网站还有其他的域名，证书中也需要包含那些域名。
• 自签名证书和私有CA
  自签名的证书以及私有CA签发的证书不适合在公开场合使用。这类证书无法简单并可靠地与中间人攻击的证书区分开。在我的调查中，大约48%的无效证书是因为这个原因。
  那么为什么人们要使用这类证书？原因有很多：（1）购买、配置和续签证书带来了额外的工作，而且需要持续投入；（2）直到几年前，证书的价格仍比较昂贵；（3）一些人认为公共受信的证书应该是免费的，因而拒绝进行付费购买。然而，最简单的事实是公共受信证书对于公开网站是适合的。
• 设备使用的证书
  当今，很多设备都有基于Web的管理界面，这些界面要求使用安全通信。当这些设备被制造出来的时候，域名和IP还无法确定，这意味着生产厂商无法安装有效的证书。理论上来讲，最终用户可以自己在设备上安装证书，但是很多这种设备都不常用，因此也就不值得去购买并安装证书。此外，很多设备的管理界面也不允许用户自己配置证书。
• 过期的证书
  另外一个无效证书产生的重要原因是过期。在我的调查中，57%的无效证书是由于过期导致的。在很多情况下，网站的管理员忘记去续签证书，或者，他们放弃了取得有效证书的想法，但是并没有将老的证书下线。需要购买新的SSL证书，请登录https://shop.evtrust.com
• 错误的配置
  另外一个常见的问题是错误的配置。为了让一张证书被信任，每个浏览器都需要建立起一条信任链，从服务器证书到一个可信任的根证书。服务器被要求提供除了根证书之外的整个信任链，但是根据SSL Pulse的数据，大约6%的服务器的证书链不完整。在某些情况下，浏览器可以对此作出变通，但是通常他们并不会这样做。

当谈到用户体验的时候，一个2013年的研究结果显示在39亿个公开的TLS连接中，有1.54%的连接存在证书警告。但是这只是在公开的互联网上的情况，在这里网站一般都会尽量避免警告。在某些特定的场景下（例如内联网或者内部应用），你可以需要每天都需要点击通过证书警告，以便可以访问和工作相关的Web应用程序。

如果您遇到这些无效证书，请联系易维信技术支持。