NET::ERR_CERT_SYMANTEC_LEGACY 错误修复

NET::ERR_CERT_SYMANTEC_LEGACY 错误修复指南：赛门铁克证书停用深度解析

网站出现 NET::ERR_CERT_SYMANTEC_LEGACY 错误，说明着该网站所使用的 ssl证书 属于旧版赛门铁克（Symantec）及其子品牌（如 GeoTrust、Thawte、VeriSign）证书。这一错误并非技术配置故障，而是浏览器对特定颁发机构（CA）历史合规性问题的强制性响应。本文将从该策略背后的安全逻辑出发，为您梳理受影响的范围及务实的更替方案。

NET::ERR_CERT_SYMANTEC_LEGACY 错误可以说是数字证书行业一次重大的“信任清洗”结果。这一策略强制推动了全球 HTTPS 环境向更严苛的审计标准迈进，同时该错误标志着赛门铁克旧版 PKI 体系在现代浏览器中的彻底终结。

虽然这个证书错误目前已经很少见，Google Chrome 中出现的 NET::ERR_CERT_SYMANTEC_LEGACY错误见下图。

为什么会发生这种情况

NET::ERR_CERT_SYMANTEC_LEGACY 错误源于使用了赛门铁克（或其合作伙伴之一）颁发的旧证书。

由于赛门铁克在证书签发过程中存在多次未遵循行业标准（CA/B Forum）的操作，导致其颁发体系的安全性受到质疑。为了保护用户的安全，以 Google 和 Mozilla 为首的浏览器厂商撤销对赛门铁克及其旗下品牌旧证书的信任。

如果您或您的客户看到此错误，则表示您使用的是 Chrome 66 或更高版本以及 Firefox 60，并且您的网站正在使用 Symantec 在 2016 年 6 月 1 日之前颁发的证书。

由于这些证书并非以安全的方式生成，浏览器厂商开始向用户显示这些警告。

如何解决这个问题

由于NET::ERR_CERT_SYMANTEC_LEGACY错误，完全与您拥有的证书有关，而与其配置无关，因此唯一的选择是重新申请证书。

如果您的付费证书仍在有效期内，需要联系您的 SSL 证书供应商。不过在 DigiCert 收购赛门铁克证书业务后，绝大多数供应商都提供了免费重签（Reissue）服务。

假如原证书即将到期，可以考虑更换为 Sectigo、GlobalSign 或 DigiCert 等目前商业品牌。

所以出现这个问题直接联系您的 SSL 证书供应商给你一个新证书或使用TopSSL申请免费的SSL证书就可以了。

如想了解更多的证书错误解决办法可通过浏览本站内容获取解决办法。

如果想了解有关此问题的更多信息，您可参阅 Google 的博客： https://security.googleblog.com/2018/03/distrust-of-symantec-pki-immediate.html。

Mozilla也曾为 Firefox 撰写了一篇博客文章，
链接如下：https://blog.mozilla.org/security/2018/03/12/distrust-symantec-tls-certificates/

常见问题 FAQ

Q：为什么我去年刚买的赛门铁克证书也会报这个错？

A：赛门铁克品牌目前已由 DigiCert 运营。如果您购买的是基于新架构签发的证书，理论上不会报错。请检查是否在安装时错误地关联了旧的中间证书链。

Q：免费证书能彻底解决这个品牌信任问题吗？

A：可以。topssl其他主流 CA 提供的 免费ssl证书 使用的是完全不同的信任根，不受赛门铁克历史遗留问题的干扰。

Q：如何快速检测我的证书是否受此影响？

A：可以使用 ssl证书工具 输入域名进行扫描。如果报告中提到“Symantec Legacy”或“Distrusted CA”，则必须立即更换。