今天，小编要总结一下这两年使用SSL证书过程中遇到的各种坑，从最初的SSL是什么？到对SSL证书有所了解，在Gworg工作的这两年，小编也算是遇到了不少的客户，也遇上了不少的问题。其中最典型的问题就是证书不信任问题，下面小编就简单的总结下证书出现不信任的几个原因。

第一种，证书过期。

SSL证书都是有有效期的，如果站长购买后部署了证书，然后就忘记了证书这一件事情。等到有一天突然有用户说，你们的网站怎么显示的红色警告图标。这时候才开始排查问题，那么首先应该检查的就是证书是否过了有效期，如果过了有效期，证书应该及时续费或者使用其他证书，最好是在证书快要过期前的一两周续费，以免影响网站后续的使用。如果证书被吊销，也会显示日期过期，这种要立刻联系证书提供商，查找吊销原因，及时解决。

第二种，证书来自不信任的CA机构。

CA机构就是证书的颁发机构。如果对SSL证书有所了解，那么大家应该知道，证书是任何人都可以发布的，我们可以自己给自己的网站颁发证书，我们也可以把我们自己制作的证书给别人安装。这种证书是完全不需要成本的，只需要你对证书有一定的了解，但是这种证书是默认不受其他客户端信任的，通常客户端会提示“该证书来自不信任的CA机构”。

而公认的CA机构颁发的证书，通常这些证书都会默认安装在我们的系统或者浏览器当中，而且这些CA机构都是国际上认证的，比较有名气的有Startcom、Comodo、Geotrust、Globalsign等。

第三种，客户端不支持SNI协议。

一般这种情况发生在Windows XP系统中，安卓4.2以下版本也会发生这种情况，大多数原因是因为这些系统时代太久远了，目前使用的人数非常之少，也不建议大家使用。这些比较古老的系统中大多是不支持SNI（Server Name Indication，服务器名字指示）协议的，不过目前主流的操作系统都是支持这个协议的，大家也不用太担心。

第四种，证书的不完整。

在申请证书的时候，经常会由于我们的疏忽或者是第一次申请，不是很懂，导致没有完全看懂申请规则，这样在申请时候就会导致域名匹配不正确，比如我申请证书，在填写CSR的时候定义了gworg.com这个顶级域名，但是并没有定义www.gworg.com这个二级域名，这个时候就会提示，证书非该域名信任证书。

即使我们购买的是单域名证书，也是同时包含www.gworg.com和gworg.com，所以我们定义时候一定要注意定义完整。