Чому Android Chrome каже, що сертифікат безпеки мого сайту не довіряється?

14

Мій сайт https://blendbee.com . Він використовує сертифікат PositiveSSL, який є дійсним.

У Windows 8 Chrome сертифікат прекрасний (зелений замок у верхньому лівому куті).

Але ... на моєму Android це не так добре. Знімок екрана: http://postimg.org/image/6vc64lr1d/

Будь-які ідеї чому?

Сервер працює під управлінням Ubuntu 13.10 у Digital Ocean.

— Кейн
джерело

IIRC, деяким сертифікатам Comodo не довіряють старі версії Android (2.x).

— ceejayoz

1

Відтворено на KitKat 4.4.4. Тож це не стосується старого Android.

— Майкл Хемптон

2

Так, це було на моєму Samsung Galaxy S5

— Kane

16

Вам потрібно надати весь ланцюжок сертифікатів, щоб він відображався як надійний.

Ось посилання, яке я отримав для інструкцій comodo щодо встановлення ланцюга cert в апачі: https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/637/37/certificate-installation-apache-- mod_ssl

Я отримав це з веб-сайту http://www.sslshopper.com/ssl-checker.html#hostname=blendbee.com , який позначив ваш сертифікат як не довірений у всіх браузерах через неповний ланцюг.

— австрійський
джерело

1

Як зауваження, якщо ви отримаєте купу файлів .crt, але не маєте пакета, можливо, вам доведеться створити власний файл пакету, як я це зробив для мого комодо церта: support.comodo.com/index.php?/Knowledgebase/Article/View /

— 643/0

4

Сертифікат може містити спеціальне розширення доступу до інформації органу ( RFC-3280 ) з URL-адресою сертифіката емітента. Більшість браузерів можуть використовувати розширення AIA для завантаження відсутнього проміжного сертифіката для завершення ланцюжка сертифікатів. Але деякі клієнти (мобільні браузери, OpenSSL) не підтримують це розширення, тому вони повідомляють про такий сертифікат як ненадійний.

Ви можете вирішити неповну проблему ланцюга сертифікатів вручну, об'єднавши всі сертифікати від сертифіката до надійного кореневого сертифіката (виключно в цьому порядку), щоб запобігти таким проблемам. Зверніть увагу, довіреного кореневого сертифіката не повинно бути там, оскільки він уже включений у сховище кореневих сертифікатів системи.

Ви повинні мати можливість отримати проміжні сертифікати у емітента і скласти їх разом. Я написав сценарій для автоматизації процедури, він перетинає розширення AIA для отримання виводу коректно пов'язаних сертифікатів. https://github.com/zakjan/cert-chain-resolver

— зак'ян
джерело

-1

Ні кореневому, ні проміжному сертифікату Chrome не довіряють, на який я вважаю, що він використовує вбудований CA для Android. Цей набір можна переглянути з settings->security->Trusted credentials.

Це запитання щодо оголошення android.se може допомогти надалі.

— 84104
джерело

Коренева церта. був у магазині довіри, але не проміжної церт. Серт. ланцюг, що містить усі проміжні продукти, не включався, і клієнт не піднімався вгору по ланцюгу, використовуючи розширення доступу до інформації про авторитет (можливо, тому, що інформація не була включена в сер. CA.

— австрійський