Question

怎样的ssl证书才能被信任

Answer 1

这边看您使用的是自建的SSL证书，该类证书一般也称为自签名SSL证书，是完全免费的，不过要是网站安装此类SSL证书的话，会一直显示出该证书不被信任，网站不安全连接的提示。其实自签名SSL证书是有很多弊端，一般是不建议给网站安装使用的：
1、自签名SSL证书本身自带安全风险
目前几乎所有自签证书都是1024位密钥，自签根证书也都是1024位。而1024位RSA非对称密钥对已经不安全了。像微软已经要求将所有 1024 位根证书从 Windows 受信任的根证书颁发机构列表中删除；谷歌chrome对自签名SSL证书发出安全警告，从而可能影响网站流量。
2、自签证书最容易受到SSL中间人攻击
自签证书是不会被浏览器所信任的证书，用户在访问自签证书时，浏览器会警告用户此证书不受信任，需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况，用户必须点信任并继续浏览！这就给中间人攻击造成了可之机。
3、自签名SSL证书容易被假冒和伪造
所谓的自签名SSL证书就是自己创建的，同理那么别人也是可以跟你创建个一模一样的网站，从而会盗用你的网站信息，严重者会导致浏览器会直接封锁死你的网站。

4、超长有效期，超容易被破解
自签名SSL证书的有效期特别长，短则几年，长则几十年，想签发多少年就多少年。而由受信任的CA机构签发的SSL证书有效期不会超过 2 年，因为时间越长，就越有可能被黑客破解。所以超长有效期是它的一个弊端。
最后由此可见，自签名SSL证书的弊端还是很多的，所以最好还是选择付费SSL证书保护效果会更好。如果网站是重要的网银系统、电子商务系统等，最好使用付费的企业级OV SSL证书或者增强型EV SSL证书，千万不要图便宜而使用不安全的自签名ssl证书。

Answer 2

SSL证书是由受信任的CA颁发的，目前达到99%信任率的机构全球只有5家左右，这些CA机构是因为早期历史原因决定的，最早就已经录入了操作系统可信目录，即使现在成立CA也避免不了历史性的问题，所以可信的SSL证书必须是有前置可信的SSL证书CA颁发机构才行。

Answer 3

为了能让网站变得可信,一定要选择权威的数字证书颁发机构(CA)所签发的SSL证书,例如GeoTrust、Comodo、DigiCert等。这些都是国际权威且知名的CA机构,颁发的SSL证书不仅安全可靠,而且类型丰富,可以满足不同用户的安全需求。