该错误表示浏览器验证 SSL/TLS 证书时,发现证书的 Subject CN(Common Name)或 Subject Alternative Name (SAN) 扩展中未包含当前访问的域名。自 Chrome 58、Firefox 48 起,CN 字段已**被完全弃用**,证书必须在 SAN 中精确列出所有有效域名(含 www 与非 www 变体),否则触发此错误。
常见成因包括:证书仅签发给 example.com,但用户访问 www.example.com;使用通配符证书 *.example.com 访问 example.com(通配符不匹配根域);证书由旧 CA 签发且未包含 SAN;或服务器配置错误(如 Nginx/Apache 未绑定正确证书文件,或 SNI 配置缺失导致返回默认站点证书)。
该错误与证书是否由受信任 CA 签发无关,即使证书本身有效、未过期、链完整,只要域名不匹配 SAN 列表,即报此错。RFC 6125 明确要求客户端必须基于 SAN 进行主机名验证,CN 仅作兼容性保留字段,不得用于校验。
certbot 命令中明确指定所有域名(如 -d example.com -d www.example.com),否则默认仅写入首个域名到 SANNET::ERR_CERT_AUTHORITY_INVALID 同时出现,需一并解决信任链与域名匹配问题加密您的网站,赢得客户信任!
2004-2026 ©北京传诚信 版权所有 | TopSSL提供免费 SSL 证书与企业级付费证书申请,快速实现 HTTPS 加密 北京市朝阳区鹏景阁大厦16层
京公网安备11010502031690号
网站经营企业工商营业执照
