不安全

不安全

“不安全”是现代浏览器（Chrome、Firefox、Edge 等）对 HTTP 页面或存在 TLS/SSL 问题的 HTTPS 页面所显示的明确状态提示，核心原因包括：未使用 HTTPS、证书过期、域名不匹配、证书链不完整、使用被吊销或弱签名算法（如 SHA-1）的证书，或服务器配置了不安全的 TLS 版本（如 TLS 1.0/1.1）及加密套件。该提示直接反映连接未满足 CA/B Forum 基线要求与 RFC 9110 对“安全上下文”的定义。

该提示并非主观判断，而是浏览器依据严格策略自动触发的结果。例如：当证书 Subject Alternative Name（SAN）中未包含用户实际访问的域名（如访问 www.example.com 但证书仅覆盖 example.com），或证书由不受信任的根证书颁发机构（Root CA）签发（未预置在操作系统或浏览器信任库中），浏览器即拒绝建立安全上下文，并标记为“不安全”。CA/B Forum 规范明确要求所有公开信任的 SSL/TLS 证书必须满足域名验证一致性、密钥强度（RSA ≥ 2048 位，ECDSA ≥ 256 位）、有效期 ≤ 398 天等强制性条件。

在实际部署中，常见触发场景包括：HTTP 资源混入 HTTPS 页面（Mixed Content），导致页面降级为“不安全”；Nginx/Apache 配置遗漏中间证书（Intermediate CA），造成证书链断裂；Let’s Encrypt 证书因 DNS 解析延迟或 ACME 挑战失败而签发异常；或使用自签名证书且未手动导入到客户端信任库。运维人员可通过 DNS解析记录查询 验证域名解析一致性，用 SSL证书链下载 工具检查链完整性，或通过 OpenSSL 命令行验证：openssl s_client -connect example.com:443 -servername example.com。

需要注意的情况

• Chrome 自 2017 年起对所有 HTTP 页面标记“不安全”，该提示在地址栏显式可见，且在表单提交时增强警告；
• “不安全”状态不可通过前端代码隐藏或绕过，必须从服务端修复协议层问题；
• 即使证书有效，若服务器启用 TLS 1.0 或使用 RC4/3DES 等已弃用加密套件，部分浏览器（如 Firefox 120+）仍将标记为不安全；
• 本地开发环境（localhost）默认豁免证书验证，但自定义 host 绑定（如 dev.example.com）仍需有效证书，否则触发警告。