Що не так з моїм ланцюжком довіри SSL?

10

Сертифікат SSL для мого сайту https://www.snipsalonsoftware.com/ не працює на Android. Для вирішення цієї проблеми я підключив свій сайт до інструменту тестування лабораторій Qualys:

https://www.ssllabs.com/ssltest/analyze.html?d=www.snipsalonsoftware.com&s=50.57.181.104

Цей звіт, здається, говорить про те, що у мене є "ланцюгові проблеми". Щось "неповне". Але у мене виникають проблеми з розумінням того, що саме є неповним.

У наступному розділі під розділом "Шляхи сертифікації" я бачу помаранчевим кольором (і я здогадуюсь, що помаранчевий означає "щось погано") "Додаткове завантаження". Я поняття не маю, що це означає чи як це виправити. Я знайшов цю тему , але не можу сказати, як перекласти те, що вони говорять, у рішення для мене.

Що я повинен зробити?

ssl 
Джейсон Світт
джерело

Відповіді:

5

Ви налаштували свій сервер, щоб він надсилав сертифікат лише браузерам. Для більшості настільних браузерів це добре, оскільки вони вже містять безліч проміжних та кореневих деталей CA, тому вони можуть легко побудувати ланцюжок довіри. Для більшості мобільних веб-переглядачів вам, як правило, потрібно надати весь ланцюжок сертифікатів, тобто власний сертифікат, сертифікат сертифікату видачі та будь-які проміжні продукти, які можуть існувати між цим і кінцевим кореневим сервером CA. Мобільний пристрій, ймовірно, матиме кореневі дані CA лише у цьому сценарії.

Ви можете прочитати цю статтю служби підтримки Comodo: База знань: Орган сертифікації Comodo> Сертифікати> SSL> Установка сертифікатів

ThatGraemeGuy
джерело
1
Дякую. Виявилося, що ця сторінка , яка привела до відповіді, ту частину , яка говорить: «SSLCertificateChainFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle ***»
Джейсон Swett
4

Сертифікат може містити спеціальне розширення доступу до інформації органу ( RFC-3280 ) з URL-адресою сертифіката емітента. Більшість браузерів можуть використовувати розширення AIA для завантаження відсутнього проміжного сертифіката для завершення ланцюжка сертифікатів. Але деякі клієнти (мобільні браузери, OpenSSL) не підтримують це розширення, тому вони повідомляють про такий сертифікат як ненадійний.

Ви можете вирішити неповну проблему ланцюга сертифікатів вручну, об'єднавши всі сертифікати від сертифіката до надійного кореневого сертифіката (виключно в цьому порядку), щоб запобігти таким проблемам. Зверніть увагу, довіреного кореневого сертифіката не повинно бути там, оскільки він уже включений у сховище кореневих сертифікатів системи.

Ви повинні мати можливість отримати проміжні сертифікати у емітента і скласти їх разом. Я написав сценарій для автоматизації процедури, він перетинає розширення AIA для отримання виводу коректно пов'язаних сертифікатів. https://github.com/zakjan/cert-chain-resolver

зак'ян
джерело
Дивовижна відповідь, це єдине, що мені допомогло. Я дав сценарію мій cert (тільки мій єдиний cert, а не пакет), і він створив повний стек certs, необхідний для веб-сервера.
onlynone
Там в Вебсервіс для цього , а також: certificatechain.io
rcoup
github.com/spatie/ssl-certificate-chain-resolver - пакет php для цього, якщо у вас немаєGo
shukshin.ivan
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.