Разорвана ли цепочка сертификатов SSL и как это исправить?

Что касается SSL-сертификата на домене example.com, некоторые тесты говорят мне, что цепочка неполна, и, поскольку Firefox хранит собственное хранилище сертификатов, в Mozilla может произойти сбой ( 1 , 2 , 3 ). Другие говорят мне, что все в порядке , как и Firefox 36, который говорит мне, что цепочка сертификатов в порядке.

ОБНОВЛЕНИЕ: Я тестировал на Opera, Safari, Chrome и IE на Windows XP и MacOS X Snow Leopard, все они работают нормально. Сбой только в Firefox <36 в обеих ОС. У меня нет доступа к тестированию в Linux, но для этого сайта это менее 1% посетителей, и большинство из них, вероятно, боты. Таким образом, это отвечает на первоначальные вопросы «Эта установка вызывает предупреждения в Mozilla Firefox или нет» и «Эта цепочка сертификатов SSL разорвана или нет?».

Поэтому вопрос заключается в том, как мне узнать, какие сертификаты мне нужно поместить в файл ssl.ca, чтобы Apache мог обслуживать их, чтобы Firefox <36 не задохнулся?

PS: Как примечание: Firefox 36, который я использовал для тестирования сертификата, был совершенно новым. Нет никаких шансов, что он не жаловался, потому что он загрузил промежуточный сертификат во время предыдущего посещения сайта, который использует ту же цепочку .

Если цепочка достаточно, зависит от хранилища CA клиента. Похоже, что Firefox и Google Chrome включили сертификат для «COMODO RSA Certification Authority» в конце 2014 года. Для Internet Explorer это, вероятно, зависит от базовой ОС. Возможно, CA еще не включен в хранилища доверия, используемые не браузерами, то есть сканерами, мобильными приложениями и т. Д.

В любом случае цепочка не полностью корректна, как видно из отчета SSLLabs :

• Один путь доверия требует, чтобы новый CA доверял браузеру. В этом случае вы все еще отправляете новый CA, что неверно, потому что доверенные CA должны быть встроены, а не включены в цепочку.
• Другой путь доверия является неполным, то есть он требует дополнительной загрузки. Некоторые браузеры, такие как Google Chrome, делают эту загрузку, в то время как другие браузеры и не браузеры ожидают, что все необходимые сертификаты будут содержаться в поставляемой цепочке. Таким образом, большинство браузеров и приложений, которые не имеют нового встроенного CA, не смогут работать с этим сайтом.

Я связался с Comodo и скачал с них файл bundle.crt. Я переименовал его в ssl.ca в соответствии с настройками этого сервера, и теперь сертификат проходит все тесты. Chain issues = Contains anchorУведомление не является проблемой (см . Ниже)

SSL Labs, широко рассматриваемый как наиболее полный тест, теперь показывает Chain issues = Contains anchor, тогда как раньше его показывали Chain issues = None(в то время как другие показали проблему с цепочкой). Это действительно не проблема ( 1 , 2 ), за исключением 1 КБ, которые сервер отправляет клиенту.

Мой вывод

1. Игнорируйте тест SSL Labs, где говорится Chain issues = Contains anchorИЛИ удалите корневой сертификат из файла комплекта (см. Этот комментарий ниже).

2. Всегда проводите дополнительный тест по крайней мере на одном из трех других сайтов тестирования ( 1 , 2 , 3 ), чтобы убедиться, что ваша цепочка действительно в порядке, когда SSL Labs говорит Chain issues = None.