Чи порушена ця ланцюжка сертифікатів SSL і як її виправити?

Для сертифіката SSL на домені example.com деякі тести говорять мені про те, що ланцюг є неповним, і оскільки Firefox зберігає власний сховище сертифікатів, він може вийти з ладу на Mozilla ( 1 , 2 , 3 ). Інші кажуть мені, що це добре , як і Firefox 36, який говорить мені, що ланцюг cert добре.

ОНОВЛЕННЯ: Я тестував на Opera, Safari, Chrome та IE на Windows XP та MacOS X Snow Leopard, вони працюють добре. Він виходить з ладу лише у Firefox <36 на обох ОС. У мене немає доступу до тестування на Linux, але для цього веб-сайту це менше 1% відвідувачів, і більшість, мабуть, є ботами. Отже, це дає відповіді на початкові запитання: "чи створює ця установка попередження в Mozilla Firefox чи ні" та "Чи порушена ця ланцюжка сертифікатів SSL чи ні?".

Отже, питання полягає в тому, як я дізнаюся, які церти потрібно розмістити у файлі ssl.ca, щоб Apache їх міг обслуговувати, щоб Firefox <36 не захлинувся?

PS: Як бічна примітка, Firefox 36, який я використовував для тестування cert, був абсолютно новою установкою. Немає шансів, що він не скаржився, тому що він завантажив проміжний сертифікат під час попереднього відвідування сайту, який використовує ту саму ланцюжок .

Якщо ланцюжок достатній, залежить від магазину Клієнта клієнта. Схоже, Firefox та Google Chrome включили сертифікат для "Сертифікаційного органу COMODO RSA" наприкінці 2014 року. Для Internet Explorer це, мабуть, залежить від основної ОС. CA може ще не включитись у довірчі магазини, які використовуються не-браузерами, тобто сканерами, мобільними додатками тощо.

У будь-якому випадку ланцюг не повністю коректний, як видно з звіту SSLLabs :

• Один шлях довіри потребує того, щоб веб-переглядачу довіряли новий КА. У цьому випадку ви все-таки відправляєте новий ЦА, що невірно, оскільки довірені ЦО повинні бути вбудовані та не міститись у ланцюзі.
• Інший шлях довіри неповний, тобто потребує додаткового завантаження. Деякі веб-переглядачі, як-от Google Chrome, завантажують це, тоді як інші браузери та не-браузери очікують, що всі необхідні сертифікати будуть міститися всередині постачаної ланцюжка. Таким чином, більшість веб-переглядачів та додатків, які не мають вбудованого нового CA, не зможуть працювати з цим сайтом.

Я зв’язався з Comodo і завантажив з них файл bundle.crt. Я перейменував його на ssl.ca, відповідно до налаштування цього сервера, і тепер сертифікат проходить усі тести. Chain issues = Contains anchorПовідомлення не є проблемою (див . Нижче)

Зараз показано SSL Labs, що вважається найповнішим тестом, Chain issues = Contains anchorтоді як раніше це було показано Chain issues = None(тоді як інші показали проблеми з ланцюжком). Це насправді не проблема ( 1 , 2 ), окрім додаткових 1 КБ сервер надсилає клієнту.

Мій висновок

1. Ігноруйте тест лабораторії SSL там, де він говорить Chain issues = Contains anchorАБО вилучіть кореневу скриньку з файлу пакету (див. Цей коментар нижче).

2. Завжди проводите вторинний тест принаймні на одному з інших трьох тестових майданчиків ( 1 , 2 , 3 ), щоб переконатися, що ваш ланцюжок справді нормальний, коли це говорить лабораторія SSLChain issues = None .