小技巧 - 使用 Chrome 檢查網站憑證問題

網友提到 Chrome 出現網站憑證無效(ERR_CERT_AUTHORITY_INVALID)訊息。

用 Chrome 查詢憑證資訊的方法之前零散提過，在這篇做個小整理。

當 Chrome 發現 HTTPS 網站憑證有問題，預設行為是阻止你檢視網站內容，將不會進入網頁而是出現下面的白畫面。若你確信網站是安全的，點選紅框處(原本按鈕文字為【進階】，點選後變成【隱藏詳細資料】)下方會展開，點選【繼續前住 XXX.XXX.XXX.XXX 網站(不安全)】可繼續瀏覽網站。(註：借用 Asus 基地台的網頁管理介面作為憑證無效範例，它使用自簽憑證不被信任)

當憑證有問題，網址欄前方會顯示【不安全】字樣，點擊後開啟視窗有一段「你與這個網站的連線不安全」警語，警告不要在這個網站輸入密碼、信用卡號等機密資訊，不然可能被看光光：

下面有另一段警語「你已選擇停用對這個網站停用安全性警告功能」，這是按了【繼續前住 XXX.XXX.XXX.XXX 網站(不安全)】造成的，允許憑證無效仍進入網頁，若按下【重新啟用警告功能】則未來連該網站會回到第一張圖的警告畫面。

要得到更多憑證詳情可以點上圖的【憑證(無效)】選單，將會顯示 Windows 憑證檢視器：

如上圖所示，由 "This CA Root certificate is not trusted. To enable trust, install this certificate in the Trusted Root Certification Authorities store." 可知問題出在簽發網站憑證的 CA 根憑證未被這台信任。

Certification Path/憑證路徑 頁籤有這張憑證的簽核路徑。以 Google 網站憑證為例有三層，*.google.com.tw 這張萬用字元憑證是由 GTS CA 1O1 簽發，而 GTS CA 1O1 的憑證又是由 Google Trust Services - GlobalSign Root CA-R2 所簽發，若其中某層有問題，該層憑證圖示會有紅色 X。

除了上述檢查方式，F12 開發者工具的 Security 頁籤有更完整訊息，以 Asus 基地台管理介面的憑證為例，除了自我簽署不被信任之外，還有另一個 Subject Alternative Name missing 問題：

蒐集到以上的資訊，要如何解決大概就有方向囉~ 就算自己搞不定，將資料提供給其他射手也有助破案，是蠻實用的小技巧。

【延伸閱讀】

• 【笨問題】在 Chrome 如何檢視 SSL 憑證？
• 憑證儲存區的選擇
• 使用OpenSSL建立CA及簽發SSL憑證
• 使用 OpenSSL 製作萬用字元 SSL 憑證

Tips of using Chrome to check website certificate inforation.