客户端证书错误避坑指南

简介：HTTPS作为站点安全的最佳实践之一，已经得到了最广泛的支持。然而在实际生产过程中，由TLS/SSL握手失败引起的连接异常问题依然十分常见。本文将结合mPaaS（https://www.aliyun.com/product/mpaas）客户端实际排查案例，介绍这类问题在移动领域的排查和解决方案。

本文始发于：云栖社区时间：2020-06-10原文链接：https://yq.aliyun.com/articles/764653

1.背景

HTTPS作为站点安全的最佳实践之一，已经得到了最广泛的支持。然而在实际生产过程中，由TLS/SSL握手失败引起的连接异常问题依然十分常见。本文将结合mPaaS（https://www.aliyun.com/product/mpaas ）客户端实际排查案例，介绍这类问题在移动领域的排查和解决方案。

2. TLS/SSL握手基本流程

HTTPS的主要作用是在不安全的网络上创建一个基于TLS/SSL协议的安全信道，对窃听和中间人攻击提供一定程度的合理防护。TLS/SSL握手的基本流程如下图描述：

图1：TLS/SSL握手基本流程图

3.案例分享 3.1 CFCA证书的历史问题

3.1.1背景某客户为其生产环境的站点申请了一张由CFCA（https://www.cfca.com.cn/ ）签发的证书。相关域名正确配置该证书且启用HTTPS后，经测试发现他们的客户端App在低版本手机上（iOS