在全球各大浏览器推出多项支持HTTPS的政策下，越来越多的网站不得不为了网络安全放弃简单快捷的HTTP明文协议，转为更加安全的HTTPS加密协议，而绝大部分的通常使用SSL证书来切换HTTPS。随着越来越多关于ssl错误情况出现，下面是常见的ssl证书错误原因，以及相对应的解决方法，希望能帮助各大网站用户解决ssl证书错误。 ssl错误一：网站证书不是由受信任的证书颁发机构颁发。 分析： 原因一：这是因为证书不在浏览器厂商的受信任的列表中。可通过手动添加证书安装到浏览器的“信任列表”就可以了。 方法：浏览器中选项→内容选项卡→证书-→导入即可。 但是上述的方法只适用于自签证书，而且浏览站点的每一台设备都需要这种操作，并且自签证书存在较大的安全风险，因此还是建议使用权威CA机构颁发的ssl证书，如：GlobalSign ,GeoTrust ,Symante、GDCA等。 原因二，网站服务器所使用的ssl证书不是由全球信任的CA机构颁发。 方法：因此推荐选择国际认证的证书，如GlobalSign ssl,GeoTrust ssl ,Symante ssl、GDCA ssl证书。 原因三，ssl证书没有得到正确安装，需要检查一下是否已经删除了以前存在或者测试的证书，若确认网站的证书是正确无误的话，请重启webserver。 ssl错误二：ssl证书包含的域名与网站地址不一致。 分析： 每一个ssl证书所对应的域名都具有唯一性，是一个全域名FQDN( Fully Qualified Domain Name )。当网站出具的证书所包含的域名和网站域名不一致，系统就会自动发出报告，提示证书域名不匹配。 方法：需要重新申请ssl证书。如有相同主域名的多站点，则要申请多域名ssl证书。GDCA拥有多种不同品牌的多域名ssl证书，用户可根据自身需求选择。 ssl错误三：使用匿名Diffie-Hellman(ADH)算法时会收到”no shared cipher”错误。 分析：在默认情况下，出于安全原因，Openssl并不启用ADH算法。仅在用户确实明白了这个算法的副作用时，才可以启用此算法。 方法：为了使用匿名Diffie-Hellman(ADH)算法，用户必须在编译Openssl时使用”-Dssl_ALLOW_ADH”配置选项，并在sslCipherSuite指令中添加”ADH”。 ssl错误四：网站证书已过期或还未生效。 分析：出现这种情况一般是电脑系统日期错误，另一种就是证书以及过了有效期，则需要续费。 方法：可查看该证书信息的有效起止日期，确定证书是否在有效期内，如在的话需查看电脑日期是否正确。否则就是第二种原因，ssl证书不在有效期内，需尽快联系证书颁发厂商，进行续费。 ssl错误五：页面包含有不安全的内容。 分析：目前都提倡每一个页面使用HTTPS，则网站所有的内容都必须是HTTPS。如果遇到图片、JS脚本，FLASH插件是通过HTTP方式去调用的，就会发生这种错误。如：常见的flash播放插件：codebase=’http://download.macromedia.com/pub/shockwave/ cabs/flash/swflash.cab’。 方法：将调用的元素http改成HTTPS即可，然后刷新测试ssl问题是否已经解决。 ssl错误六：浏览网页的时候突然弹出ssl连接错误 方法： 1、按下“Win+R”组合键打开运行，在运行框中输入：inetcpl.cpl 点击确定打开“internet 选项”； 2、切换到【高级】选项卡； 3、在设置框中勾选“使用ssl 3.0”、“使用ssl1.0”、“使用ssl 1.1”、“使用ssl 1.2”点击应用并点击确定； 4、重启浏览器即可解决ssl连接错误！ 如果用户遇到的问题非上述情况，可到GDCD官网，寻求技术支持。凡是选择GDCA ssl证书的网站用户，GDCA可提供免费一对一的ssl证书技术部署支持，免除后顾之忧。 内容素材来源于互联网

概述 近年来，Web安全已经成为信息安全领域的一个重要话题。由于Web所具有的优点，越来越多的关键服务都被开发成Web应用程序。但由此，对Web应用程序安全性的需求也逐渐增加，除了要拥有一套良好的开发标准之外，开发人员还应该充分考虑其安全性。Web应用程序防火墙是一个7级的防火墙，用于检查Web流量并尝试防范攻击。在本文中，我将主要描述一个有趣的Web应用防火墙绕过方式，我是在最近对WAF的代码审计工作中发现了这一问题。   漏洞成因 最近，我入职某家公司并进行一套WAF的部署测试工作。出于保密需要，我不会透露公司和产品的名称。部署过程的体系结构大致如下： 在我获得所需信息之后，我开始寻找绕过它的不同方法。在测试过程中，我被允许在WAF上进行不同的测试，在测试过程中，发现了一个滥用SSL密码的方式。在我第一次登陆WAF时，看到了一个“不受支持的SSL密码”的警告，这就引起了我的注意。随后，我开始阅读产品文档，并设法找到所有支持的SSL密码。但在进行下一步之前，我想先阐述一下SSL连接的工作原理。 SSL握手主要由3个阶段组成： 1、ClientHello/ServerHello阶段 握手过程开始于发送ClientHello消息的客户端。在该消息中，会包含服务器所需的全部信息。例如各种密码套件和支持的SSL/TLS版本。收到连接后，服务器将使用ServerHello消息进行响应，该消息中包含客户端所需的类似信息。服务器还将返回所使用的密码套件和SSL版本。 2、证书交换 在初始化连接之后，服务器需要向客户端证明其身份。服务器会将SSL证书发送到客户端，客户端会检查该证书，确认它可以信任后再继续连接。 3、密钥交换 在建立了安全隧道之后，服务器和客户端交换密钥，该密钥将用于加密和解密数据。   攻击思路 基于以上原理，我突然想到，如果我使用“不受支持的”SSL加密方式来初始化与支持该密码的Web服务器的连接，那么WAF就无法识别攻击行为，因为它这时无法监测到数据。 因此，我查阅了WAF厂商的文档，从中找到了所有受支持的SSL加密方式，如下所示。 SSLv3 SSL_RSA_WITH_NULL_MD5 SSL_RSA_WITH_NULL_SHA SSL_RSA_WITH_RC4_128_MD5 SSL_RSA_WITH_RC4_128_SHA SSL_RSA_WITH_DES_CBC_SHA SSL_RSA_WITH_3DES_EDE_CBC_SHA SSL_RSA_EXPORT_WITH_RC4_40_MD5 SSL_RSA_EXPORT_WITH_DES40_CBC_SHA TLS/1.0-1.2 TLS_RSA_WITH_NULL_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_EXPORT1024_WITH_RC4_56_MD5 TLS_RSA_EXPORT1024_WITH_RC4_56_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_RC4_128_MD5 = { 0x000x04 } TLS_RSA_WITH_RC4_128_SHA = { 0x000x05 } TLS_RSA_WITH_DES_CBC_SHA = { 0x000x09 } 下一步就是确定Web服务器支持的SSL加密方式。 实际上，有很多方法可以检测服务器支持的加密方式，但我们在这里选用了sslscan，因为该工具易于安装，并且能够提供大量详细信息。 pwn@thinkpad:~$ sudo apt install sslscan Reading package lists... Done Building dependency tree Reading state information... Done The following NEW packages will be installed: sslscan 0 upgraded, 1 newly installed, 0 to remove and 0 ... 更多

安信4月1日消息 外媒 TechPowerUp 开发的英伟达显卡驱动工具 NVCleanstall 今日发布了 v1.9.0 正式版。这个第三方工具能够自动搜索 N 卡最新的驱动，可选多个版本可供选择。此外，还便于用户彻底卸载显卡驱动。 这款工具最大的特点是 “纯净安装”，对于用户无用的 PhysX 物理驱动、HDMI 音频驱动、虚拟音频、USB-C 驱动、Ansel、Optimus、nView 桌面管理器、SHIELD 无线手柄、NV Container、驱动更新服务、数据反馈服务、GeForce Experience 等等均可以手动去除。以下为软件更新日志： 改进了驱动程序数字签名的信息，安装时不再会弹出警告。 修复了英伟达 Quadro 计算显卡安装时的 “Add hardware support”错误提示 大大减少了软件的内存占用 安信了解到，这款工具上一个版本于 2021 年 1 月推出，带来了大量改善，可以识别并区分桌面显卡 / 移动显卡。

写在前面：如果驱动没有数字签名，那么在 Windows 系统下面将难于安装运行，要想驱动获得数字签名，一般有两种方法： 第一：在安信申请代码签名证书 微软支持的代码签名证书品牌有 DigiCert、GlobalSign、Entrust，见：https://www.ihuandu.com/codesigning.html 但这种方式将在2021年会被停止使用，也就是从2021年开始，要想驱动程序获得微软认可的数字签名，则需要通过以下第二种方式。 第二：通过安信进行WHQL认证测试。 WHQL 是微软从2021年开始指定的获取微软数字签名证书的方式，见：https://www.ihuandu.com/whql.html ———————————————————————————————— 但有的时候情况特殊，需要临时安装驱动进行一些测试和体验，这个时候，安信建议您临时关闭 windows 7 和windows 10 驱动程序强制签名验证，具体方法如下： Windows 10 关闭驱动程序强制签名 方法一：在 BIOS 设置中关闭 secure boot 重启您的计算机，然后根据您主板厂商设置的按键进入 BIOS，关闭 secure boot，然后输入cmd，右键选择以管理员身份运行，使用以下命令： bcdedit.exe /set nointegritychecks on 重新开启驱动程序强制签名的命令： bcdedit.exe /set nointegritychecks off 同时，您也可以使用 bcdedit /set testsigning on 命令进入测试模式。 方法二：傻瓜式启动设置中关闭 开始、设置、更新和安全、恢复、立即重新启动、然后选择疑难解答、高级选项、启动设置，在启动设置中重启，等待重启完成后选择禁用驱动程序强制签名 。 Win10关闭驱动签名验证 Windows 7 关闭驱动程序强制签名 方法一：F8界面禁用 开机时按F8，然后在界面上点击禁用驱动程序签名强制即可，注意，这种方式只是暂时禁用，电脑重启后就失效了。 方法二：用户配置中关闭 1、“WIN键+R”打开运行，然后输入命令 gpedit.msc 然后确定；选择用户配置中的管理模板，然后在管理模板中点击系统打开； 3、在系统中找到驱动程序安装，然后点击右边的设备驱动程序的代码签名； 4、设备驱动程序的代码签名窗口中，选择已启用，然后下方这里可以选择忽略。这样我们就禁用了驱动程序签名强制。 1）“忽略”命令系统继续安装，即使其中包含未经签名的文件也是如此。 2）“警告”向用户通知未经数字签名的文件，并让用户决定是停止安装还是继续安装以及是否允许安装未经签名的文件，“警告”是默认设置。 3）“阻止”命令系统拒绝安装未经签名的文件。安装将停止，而且将不安装驱动程序包中的任何文件。

Google Chrome启用网站隔离可减少Spectre攻击。 在2017 年 12 月发布的 Chrome 63引入一个新功能：网站隔离。网站隔离可加强网络安全，防止恶意网站干扰合法网站的功能。通常，Chrome通常把一个标签默认为一个进程，但是如果网页之间存在共享内容，就会共享同一个进程。而网站隔离可消除共享进程，确保不同网站在不同的进程上。以此防止发生类似Spectre和Meltdown的攻击。 由于开启网络隔离功能，需要占据10%的内存，因此Chrome当初并没有默认启用，用户只能通过手动设置启用该功能。但是在Chrome67中，网站隔离功能被默认启用。 Spectre和Meltdown漏洞 Spectre和Meltdown是同一漏洞的不同变体的两个名称。允许恶意程序窃取在受影响机器上处理的敏感数据。 Meltdown漏洞影响几乎所有的Intel CPU和部分ARM CPU，破坏了位于用户和操作系统之间的基本隔离，此攻击允许程序访问内存，因此其他程序以及操作系统的敏感信息会被窃取 而Spectre则影响所有的Intel CPU和AMD CPU，以及主流的ARM CPU。破坏了不同应用程序之间的隔离。 这两款漏洞几乎影响到过去20年制造的每一种计算设备，从个人电脑、服务器、云计算机服务器到移动端的智能手机，都受到这两组硬件漏洞的影响。 Spectre和Meltdown漏洞对浏览器的影响 Google和其他主流浏览器厂商面临的问题是，Spectre和Meltdown可以启用“不值得信任的代码”来潜在地读取其进程地址、空间中的任何内存。 Google的Charlie Rei曾在博客提到： “这对于Web浏览器十分重要，因为浏览器通常在同一进程中运行多个网站的潜在恶意JavaScript代码。从理论来说，网站可能会使用此类攻击来窃取其他网站的信息，违反同源政策。所有主流浏览器都已经为Spectre 部署了一些缓解措施，包括减少计时器粒度和更改其JavaScript编译器以使攻击不太可能成功。但是，我们认为最有效的缓解措施是通过网站隔离来解决，即使发生Spectre攻击，可避免在同一进程中窃取到有用数据。” 而Spectre攻击可窃取其他网站的信息。而同源策略在Web应用程序安全性的一个重要机制：在Web浏览器默认中，当两个Web页面具有相同的来源时，允许第一个Web页面中包含的脚本访问第二个Web页面中的数据。其中Mozilla将来源定义为： “如果协议，端口（如果指定了一个端口）和主机对两个页面都相同，则两个页面具有相同的来源。” 同源策略是浏览器最核心也最基本的安全功能。微软的Eric Lawrence曾说过： “如果来自一个来源的内容能够读取另一个来源加载的内容，则一个站点可以轻松攻击另一个站点。例如，来自trustauth.cn的IFRAME可以从trustauth.cn读取另一个IFRAME的内容。站点一旦遭遇网络攻击，其后果不可设想。 Spectre和Meltdown漏洞对浏览器（包括Chrome在内）的影响十分严峻。 站点隔离可防止Spectre和Meltdown漏洞 站点隔离是Chrome浏览器的一项新功能，同时Chromium工程师对浏览器的架构发生改变。因此站点隔离功能可隔离了每个选项卡，并将每个渲染器进程限制为来自单个站点（单个原点）的文档。 “启用站点隔离后，每个渲染器进程最多包含一个站点的文档。这意味着跨站点文档的所有导航都会导致选项卡切换进程。也意味着使用“ 进程外iframe ” 将所有跨站点iframe放入与其父框架不同的进程中。在多个进程之间拆分单个页面，是Chrome工作方式和Chrome安全团队多年来一直追求重大变化。基于Spectre攻击，进程外iframe终于被嵌入Chrome扩展安全模型。“ 但即使网站隔离功能正常工作，仍然存在信息泄露的可能性。如果攻击者的页面请求它们作为子资源，它仍然可以访问并泄漏来自跨站点URL的信息。 例如，浏览器通常允许站点的图像和脚本页面嵌入。页面请求具有敏感数据的HTML或JSON URL，这就会导致页面出错并且不显示，但数据仍可在Spectre攻击，访问它的渲染器进程中结束。 因此，站点隔离还包括一个称为跨源读取阻塞（CORB）的功能，作为Fetch规范的一部分。此功能将阻止来自渲染器的跨站点HTML，XML和JSON响应。Google建议网络开发人员检查是否使用正确的MIME类型和nosniff响应标头来提供资源。

上周，安全研究员Scott Helme在其博客发布一篇新博文，提到功能策略将允许网络站点启用或禁用某些浏览器功能和API，来提高网络安全性和隐私性。 什么是功能策略 功能策略是一种新的安全标头，允许网站所有者在其网页或嵌入的页面启用和禁用某些Web浏览器功能。为终端用户访问站点（包括嵌入的网站）提供更安全的体验。 功能策略的工作原理 功能策略是通过HTTP响应头提供，与创建其他各种安全标头一样。网站所有者要提前先确定所需要限制的功能，然后再构建策略。如 Feature-Policy: vibrate ‘self’; usermedia *; sync-xhr ‘self’ https://trustauth.cn 通过指定vibrate允许self功能被禁用，除了站点所有者以外，所有来源都被禁用。除了sync-xhr功能仅限于当前原点，所有来源都允许使用“usermedia”。 在Helme的示例中，Vibrate功能伴随着“self”，除了站点所有者以外，所有来源都禁用它。同样，sync-xhr功能仅限于当前原点，所有来源都允许使用“usermedia”。 站点所有者有三种不同的选择来选择起源： 此来源允许当前页面和其他嵌套浏览上下文（即iFrame）使用该功能 限制对当前页面以及任何其他嵌套浏览上下文的使用，其前提是它们位于同一来源 完全禁用页面和任何其他嵌套浏览上下文中的功能 以下是可以使用功能策略启用或禁用的功能列表： geolocation midi notifications push sync-xhr microphone camera magnetometer gyroscope speaker vibrate fullscreen payment （付钱请求） 该列表会有所更改，请密切关注页面底部链接的文档进行更新。 限制iframe 用户可通过功能策略来对iframe等内容进行更细致的控制，启用特定的iframe功能。 如父级禁用某项功能，然后在特定的iFrame上启用该功能。如下例： Feature-Policy: vibrate ‘none’ <iframe src=“https://trustauth.cn” allow=“vibrate”> 可以在站点级别禁用振动，然后在其他特定的iFrame上启用振动功能。 当然，也可以指定此策略的另一种方式是允许trustauth.cn访问响应头中的振动，但会将其授予从该源加载的所有子上下文。 Feature-Policy: vibrate ‘self’ trustauth.cn <iframe src=“https://trustauth.cn”> 功能策略在这方面提供了相当大的灵活性，因此可提供真正保护的方式进行部署。 支持 目前功能策略处于初期阶段，但已获得Chrome和Safari两大浏览器的支持使用。站点所有者可通过这两个浏览器提前了解该功能。相信随着浏览器的推行，用户获取的安全性将会越来越好。

简述 今年1月，作者向Goole提交了一个关于reCAPTCHA验证码绕过的漏洞，该漏洞的绕过方法是需要web应用通过 reCAPTCHA 以一种不安全的方式来处理，然后发送到/recaptcha/api/siteverify的请求。当遇到这种情况是，攻击者都能绕过reCAPTCHA的安全验证机制。目前，谷歌从reCAPTCHA API的顶层接口上对这个漏洞进行了修复，且不需要对Web应用程序进行任何修改。本文将介绍如何通过HTTP参数污染绕过RECAPTCHA机制。 reCAPTCHA验证机制 reCAPTCHA是Google提供的一项免费验证服务，可允许web应用开发者将验证码认证（CAPTCHA ）机制添加到他们的自主网站当中。reCAPTCHA是一项非常复杂的服务：会根据已存在的cookies来选择信任用户，或通过用户手动地去完成一些它提供的识别测试。接下来要介绍的是发现漏洞的情况。 当Web应用要测试用户时，，Google会提供一个图像集并使用JavaScript代码在浏览器中显示，如下图： 当用户点击验证码CAPTCHA进行“验证”（Verify）时，就会触发一个指向网站的HTTP请求，该请求大致如下： POST /verify-recaptcha-response HTTP/1.1 Host: trustauth.cn recaptcha-response={reCAPTCHA-generated-hash} 收到请求后，web应用程序需要向Google的reCAPTCHA API发送一个请求来验证用户的响应： POST /recaptcha/api/siteverify HTTP/1.1 Content-Length: 458 Host: www.gtrustauth.cn Content-Type: application/x-www-form-urlencoded recaptcha-response={reCAPTCHA-generated-hash}&secret={application-secret} Web应用程序需要使用{application-secret}进行身份验证，并向API发送{reCAPTCHA- generated-hash}来查询结果。如果用户的回答无误后，则API的反馈信息如下： HTTP/1.1 200 OK Content-Type: application/json; charset=utf-8 Content-Length: 90 { “success”: true, “challenge_ts”: “2018-01-29T17:58:36Z”, “hostname”: “…” } 最后，Web应用将接受并处理该响应信息，最终用户被允许访问相应的网站资源。 HTTP参数污染 HTTP参数污染在客户端和服务器端之间几乎无处不在，相关的风险很大程度是取决于上下文，在某些特定的情况下，很可能会导致数据泄露。但大多数情况下是处于低风险的。 绕过reCAPTCHA认证需要web应用中存在HTTP参数污染，该项要求大大降低了Google对此漏洞报告的严重性。易受攻击的Web应用程序示例如下所示： private String sendPost(String CaptchaResponse, String Secret) throws Exception { String url = “https://www.gtrustauth.cn/recaptcha/api/siteverify”+”? response=”+CaptchaResponse+”&secret=”+Secret; URL obj = new URL(url); HttpsURLConnection con = (HttpsURLConnection) obj.openConnection(); 其中字符串拼接用于创建* url *变量。 同样需要注意的还有Google服务端，发送以下两个HTTP请求，会得到相同的响应消息。 POST /recaptcha/api/siteverify HTTP/1.1 Host: www.gtrustauth.cn … recaptcha-response={reCAPTCHA-generated-hash}&secret={application-secret}   POST /recaptcha/api/siteverify HTTP/1.1 Host: www.gtrustauth.cn … recaptcha-response={reCAPTCHA-generated-hash}&secret={application-secret}&secret= {another-secret-application-secret} 谷歌的reCAPTCHA ... 更多

之前，安信介绍过多种SSL错误的各种解决方法，得到不少网友的点赞。毕竟随着HTTPS的普及，由于各种的兼容性，浏览器版本等等各种问题，导致越来越多的SSL错误出现。而安信作为国内已通过Webtrust认证的CA机构，除了为国内各大站点提供可信的SSL证书之外，还有各种关于SSL证书的技术支持。下面安信介绍另外一种SSL错误。 有用户在使用客户端浏览器访问HTTPS网站时，曾遇到过“SSL_ERROR_RX_RECORD_TOO_LONG”这样的错误。为了更多的站点用户可以尽快解决这个错误，为此安信通过互联网收集了 多种解决方案。 发生“SSL_ERROR_RX_RECORD_TOO_LONG”的原因 客户端访问HTTPS之所以会发生错误“SSL_ERROR_RX_RECORD_TOO_LONG”，有可能是因为目标安全服务器中未正确设置SSL流量。如果错误配置了SSL，因此服务器端口443完成不了正确的SSL 握手，就会发生此错误。也可以是由其他原因导致此错误，但无论怎样，当网络站点发生此错误时，就意味着浏览器无法验证安全数据。该错误曾被Firefox多次提及。 解决方案1：使用HTTP协议访问站点 对于访问特定网站的用户而言，最简单的解决方案是使用HTTP协议而不是HTTPS。HTTPS协议需要安全握手以及SSL证书。如果服务器端存在安全机制问题，客户端仍然可以使用默认HTTP访问 网站。 打开浏览器并输入网站地址，然后按Enter键。此时浏览器有可能会自动将协议设置为HTTPS，通过手动编辑地址行并将其设置为HTTP。 但是这种方法安信并不建议使用，因为HTTP已被上周发布的Chrome 68贴上不安全标签，而且这种方法无法从根本上解决问题。 解决方案2：在Firefox中禁用代理 Firefox作为国际浏览器厂商，在浏览器中占据一定的市场份额。有些站点通过Firefox访问出现“SSL_ERROR_RX_RECORD_TOO_LONG”已经有一段比较长的时间。互联网给出的解决方法是禁 用所有代理可以解决问题。 面临的大多数用户都是使用Firefox作为浏览器。众所周知，Firefox会导致这些问题很长时间，许多用户报告说，禁用所有代理可以解决问题。请注意，“在此网络上自动检测代理”与“ 无代理”不同。具体的操作步骤如下： 1、打开Firefox，打开右上角的菜单图标，然后选择“ 选项 ”。 2、浏览菜单，直到找到“ 网络代理 ”。单击并选择“ 无代理 ” 选项。 3、保存更改并重新启动Firefox即可。 解决方案3：禁用防病毒软件 发生此错误的原因也有可能是因为受到计算机上安装的防病毒软件的干扰。防病毒软件可通过监控网络流量和验证所有证书，默认多个限制选项来保护计算机。 对于此类问题，必须要查看电脑的防病毒软件中是否存在类似的服务设置。如：是否有“AVG中的HTTP扫描”。存在的话需要禁用所有类似的保护，重启计算机，然后重新连接网络站点。 解决方案4：禁用TLS 1.3 另一种解决方法是在Firefox设置禁用TLS 1.3协议。 1、在Firefox的地址栏中输入“ about：config ”。 2、在搜索条目“trustauth.cn ”。将值从4更改为3。 3、值4所表示TLS 1.3，3个代表TLS 1.2。 重新启动浏览器并检查问题是否已解决。 解决方案5：Firefox用户的其他故障排除 除了上面列出的解决方案之外，还可以在Firefox浏览器尝试以下修复程序。 清除缓存和升级Firefox来提供的最新版本。 关闭所有Firefox的附加组件。 刷新浏览器。 将trustauth.cn值设置为0。 如果上述所有步骤都不可以解决问题，请换取使用其他浏览器（如Chrome）打开该网站。 解决方案6：更改证书 该问题的简单解决方法是更改​​服务器的证书​​值。 改变默认值：443到trustauth.dev:443。 解决方案7：更改nginx.conf文件 还可以尝试另一个方法，就是更改nginx.conf文件。该解决方案仅使用Nginx运行其网站的用户。同样的原则适用于调整有关443端口的设置。 下面是一段代码，其中包含提到的解决方法。 必须改变443; 要443 SSL; 此外，还要删除“ssl on”。 解决方案8：额外检查 除上述解决方案外， 在服务器中打开并启用端口443。这是https通信的标准端口。 如果SSL使用的是非标准版，则Firefox可能会提示此错误。 如果使用的是Apache2，则应检查SSL的端口是否为443.可以通过设置httpd .conf文件来实现此目的。 确保SSL证书未过期。 如果是Apache2，则检查vhost配置文件。有报告称将<VirtualHost>更改为_default_解决了错误。 还应该确保一个IP上只有一个SSL证书。确保所有SSL证书都使用专用的IP。 在Apache中，检查Listen <port>指令是否与受保护网站的VirtualHost指令中的端口号匹配，以及SSL配置语句（SSLEngine On，SSLCertificateFile <filename>等）是否出现在VirtualHost指令中网站或服务器的SSL配置文件。

我们都知道通过了Windows徽标认证(WHQL)获得微软数字签名对于驱动程序的安装和使用是一个稳定象征。 然而，是不是所有微软数字签名的驱动程序都是有通过Windows徽标认证的呢？不全是，我们还得从细处看看，因为这也可能是微软的Attestation签名，这种签名看起来和通过微软徽标认证获得的数字签名看似一样，实质在UEFI Secure Boot开启的电脑中使用常常出问题。哪怎么区别驱动程序是否通过微软Window徽标认证呢？   一，我们通过查看Catalog file签名信息的来看驱动是否真有通过Windows徽标认证。 通过Windows徽标认证的签名Catalog文件打开之后其中会有Qualification Level的标识 没有通windows徽标认证的签名就没有这个Qulification Level的标识   二，看驱动提供商有没有Windows Hardware Certification Report。 通过windows徽标认证微软会生成一份认证报告，上面会列出有认证过的哪些系统。如果驱动供应商能拿出认证报告来，也可以说明驱动程序有通过徽标认证。 微软Windows徽标认证报告样例如下：