Что не так с моей цепочкой доверия SSL?

10

Сертификат SSL для моего сайта https://www.snipsalonsoftware.com/ не работает на Android. При устранении этой проблемы я подключил свой сайт к инструменту тестирования Qualys SSL Labs:

https://www.ssllabs.com/ssltest/analyze.html?d=www.snipsalonsoftware.com&s=50.57.181.104

Этот отчет, кажется, говорит мне, что у меня есть "проблемы с цепочкой". Что-то "неполное". Но у меня возникают проблемы с пониманием того, что является неполным.

В следующем разделе, в разделе «Пути сертификации», я вижу оранжевым (и я предполагаю, что оранжевый означает «довольно плохо») «Дополнительная загрузка». Я понятия не имею, что это значит или как это исправить. Я нашел эту ветку , но не могу сказать, как перевести то, что они говорят, в решение для меня.

Что я должен делать?

ssl 
Джейсон Светт
источник

Ответы:

5

Вы настроили свой сервер только для отправки сертификата в браузеры. Для большинства настольных браузеров это хорошо, потому что они уже содержат множество промежуточных и корневых сведений о CA, поэтому они могут легко создать цепочку доверия. Для большинства мобильных браузеров обычно требуется предоставить всю цепочку сертификатов, т. Е. Собственный сертификат, сертификат выдающего ЦС и любые промежуточные звенья, которые могут существовать между этим и конечным корневым ЦС. Мобильное устройство, скорее всего, будет иметь данные корневого ЦС только в этом сценарии.

Для вашего конкретного сертификата вы можете прочитать эту статью службы поддержки Comodo: База знаний: Центр сертификации Comodo> Сертификаты> SSL> Установка сертификата

ThatGraemeGuy
источник
1
Спасибо. Оказалось, что эта страница привела к ответу, часть, которая гласит: "SSLCertificateChainFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle ***"
Джейсон Светт
4

Сертификат может содержать специальное расширение доступа к информации о полномочиях ( RFC-3280 ) с URL-адресом сертификата эмитента. Большинство браузеров могут использовать расширение AIA для загрузки отсутствующего промежуточного сертификата для завершения цепочки сертификатов. Но некоторые клиенты (мобильные браузеры, OpenSSL) не поддерживают это расширение, поэтому сообщают о таком сертификате как о ненадежном.

Вы можете решить проблему неполной цепочки сертификатов вручную, объединив все сертификаты от сертификата до доверенного корневого сертификата (исключительно в этом порядке), чтобы предотвратить такие проблемы. Обратите внимание, что доверенный корневой сертификат не должен быть там, так как он уже включен в хранилище корневых сертификатов системы.

Вы должны быть в состоянии получить промежуточные сертификаты от эмитента и объединить их вместе самостоятельно. Я написал сценарий для автоматизации процедуры, он зацикливается на расширении AIA для получения правильных цепочек сертификатов. https://github.com/zakjan/cert-chain-resolver

zakjan
источник
Потрясающий ответ, это единственное, что мне помогло. Я дал сценарию свой сертификат (только мой единственный сертификат, а не пакет), и он создал полный стек сертификатов, необходимых для веб-сервера.
только
Для этого также есть
веб-сервис
github.com/spatie/ssl-certificate-chain-resolver - пакет php для этого, если у вас его нетGo
shukshin.ivan
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.