Чи порушена ця ланцюжка сертифікатів SSL і як її виправити?


13

Для сертифіката SSL на домені example.com деякі тести говорять мені про те, що ланцюг є неповним, і оскільки Firefox зберігає власний сховище сертифікатів, він може вийти з ладу на Mozilla ( 1 , 2 , 3 ). Інші кажуть мені, що це добре , як і Firefox 36, який говорить мені, що ланцюг cert добре.

ОНОВЛЕННЯ: Я тестував на Opera, Safari, Chrome та IE на Windows XP та MacOS X Snow Leopard, вони працюють добре. Він виходить з ладу лише у Firefox <36 на обох ОС. У мене немає доступу до тестування на Linux, але для цього веб-сайту це менше 1% відвідувачів, і більшість, мабуть, є ботами. Отже, це дає відповіді на початкові запитання: "чи створює ця установка попередження в Mozilla Firefox чи ні" та "Чи порушена ця ланцюжка сертифікатів SSL чи ні?".

Отже, питання полягає в тому, як я дізнаюся, які церти потрібно розмістити у файлі ssl.ca, щоб Apache їх міг обслуговувати, щоб Firefox <36 не захлинувся?

PS: Як бічна примітка, Firefox 36, який я використовував для тестування cert, був абсолютно новою установкою. Немає шансів, що він не скаржився, тому що він завантажив проміжний сертифікат під час попереднього відвідування сайту, який використовує ту саму ланцюжок .


1
Не обов’язково - у будь-якому випадку, якщо ви зможете відповісти на власне запитання, ви заохотили це зробити :)
BE77Y

Так, я відповів на це, але було б корисніше запитати, як виправити замість того, чи це зламано. Чи добре це робити?
Гая

1
Абсолютно. Тут зберігаються відповіді і відповіді (з часу їх опублікування вони мали рацію, правда?)
канадський Люк

@Gaia: ах, добре - я бачу, що ти маєш на увазі зараз. Я не на 100% над тим, що вважалося б найкращою практикою щодо цього, але мій інстинкт полягав би в тому, щоб оновити ваше запитання, щоб воно включало "і як це слід вирішити?" У вашому випадку, відповідно до відповіді Стеффен Улріха, сертифікат "COMODO RSA Certification Authority" відсутній у ланцюжку - ви можете уникнути будь-яких потенційних помилок клієнта, але включити їх у свій ланцюг. Це лише колись справді вважається поганою практикою, оскільки це додає потенційно непотрібних накладних витрат на рукостискання - інакше це не надає згубної дії.
BE77Y

На додаток до вищезазначеного також варто відзначити, що більшість, якщо не всі сучасні клієнти, повинні бути абсолютно чудовими з налаштуваннями, як це є в даний час (відповідно до тесту SSLlabs)
BE77Y

Відповіді:


8

Якщо ланцюжок достатній, залежить від магазину Клієнта клієнта. Схоже, Firefox та Google Chrome включили сертифікат для "Сертифікаційного органу COMODO RSA" наприкінці 2014 року. Для Internet Explorer це, мабуть, залежить від основної ОС. CA може ще не включитись у довірчі магазини, які використовуються не-браузерами, тобто сканерами, мобільними додатками тощо.

У будь-якому випадку ланцюг не повністю коректний, як видно з звіту SSLLabs :

  • Один шлях довіри потребує того, щоб веб-переглядачу довіряли новий КА. У цьому випадку ви все-таки відправляєте новий ЦА, що невірно, оскільки довірені ЦО повинні бути вбудовані та не міститись у ланцюзі.
  • Інший шлях довіри неповний, тобто потребує додаткового завантаження. Деякі веб-переглядачі, як-от Google Chrome, завантажують це, тоді як інші браузери та не-браузери очікують, що всі необхідні сертифікати будуть міститися всередині постачаної ланцюжка. Таким чином, більшість веб-переглядачів та додатків, які не мають вбудованого нового CA, не зможуть працювати з цим сайтом.

Я маю враження, що Chrome і IE обидва використовують магазин сертифікатів Windows. Ви впевнені, що у Chrome є власний додатковий магазин?
Гая

SSLlabs зазначає "Питання ланцюга = Немає", але я бачу детальний аналіз ланцюга нижче.
Гая

1
FWIW, Chrome під ОС X дійсно використовує сховище сертифікатів ОС @SteffenUllrich.
BE77Y

1
@Gaia: не забудьте мобільних клієнтів, у них є власний магазин сертифікатів, який також може відрізнятися між різними версіями Android.
Steffen Ullrich

1
@Gaia: пройдіть другий шлях довіри, показаний SSLLabs, і просто додайте відсутній сертифікат ланцюга. Потім цей ланцюжок може бути перевірений як браузерами, які мають новіший CA, так і тими, у яких ще немає ЦА.
Steffen Ullrich

8

Я зв’язався з Comodo і завантажив з них файл bundle.crt. Я перейменував його на ssl.ca, відповідно до налаштування цього сервера, і тепер сертифікат проходить усі тести. Chain issues = Contains anchorПовідомлення не є проблемою (див . Нижче)

Зараз показано SSL Labs, що вважається найповнішим тестом, Chain issues = Contains anchorтоді як раніше це було показано Chain issues = None(тоді як інші показали проблеми з ланцюжком). Це насправді не проблема ( 1 , 2 ), окрім додаткових 1 КБ сервер надсилає клієнту.

Мій висновок

  1. Ігноруйте тест лабораторії SSL там, де він говорить Chain issues = Contains anchorАБО вилучіть кореневу скриньку з файлу пакету (див. Цей коментар нижче).

  2. Завжди проводите вторинний тест принаймні на одному з інших трьох тестових майданчиків ( 1 , 2 , 3 ), щоб переконатися, що ваш ланцюжок справді нормальний, коли це говорить лабораторія SSLChain issues = None .


2
Немає сенсу включати фактичний сертифікат "якор" / "корінь". Однак ви дуже хочете отримати проміжний сертифікат. Я припускаю, що у вас не було проміжного сертифіката спочатку, що спричинило проблеми.
Хокан Ліндквіст

@ HåkanLindqvist Отже, я повинен розшифрувати certs, щоб дізнатися, який з них є кореневим cert та видалити його з ланцюга?
Гая

1
Я б запропонував зробити це, навіть якщо це не така серйозна проблема, як відсутні проміжні серти (це трохи марнотратно). Fwiw, SSL-тест Qualy вказує на те, 02faf3e291435468607857694df5e45b68851868що це зайве.
Хокан Ліндквіст

@ HåkanLindqvist за допомогою openssl x509 -fingerprint -in ssl.caя прибив, що частина файлу, яка має відбиток пальців, 02faf3e291435468607857694df5e45b68851868була першою PEM. Я видалив її, і тепер я отримую i.imgur.com/1iG2UCz.png та i.imgur.com/m8gYbdG.png (ПОМИЛКА OCSP: Помилка запиту зі статусом OCSP: 6 [ ocsp.comodoca.com] )
Gaia

3
Ваш висновок щодо попередження "містить якір" є дійсним - цю відповідь на Security.SE варто прочитати стосовно; підсумовуючи, немає жодної проблеми з його надсиланням: security.stackexchange.com/a/24566/7043
Chris J
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.