Як SSL-сертифікат може працювати лише для деяких клієнтів?

Нещодавно мій провайдер хостингу повторно видав та повторно встановив сертифікат SSL для мого домену після того, як вони дозволили помилково закінчити термін дії старого.

Тепер я можу знову переглядати веб-сайт через HTTPS, і це мій хост, як і ряд інших користувачів.

Однак деякі користувачі (принаймні десяток із сотень) все ще отримують Your connection is not secureповідомлення про помилки в різних браузерах та платформах. (Діагностувати проблему, яку я не можу відтворити, важко.)

Я розумію, що різні веб-переглядачі використовують різні списки органів з сертифікації (CA.)

1. Чому користувач, який працює з такою ж версією Firefox, як і я (45.0.1 в ОС X), отримує SEC_ERROR_UNKNOWN_ISSUERпомилку (лише для мого сайту), поки я не? Що це робить можливим? Згаданий користувач очистив кеш і перезавантажив свій ноутбук.

Я запустив перевірку SSL на digicert.com . Результат такий:

Сертифікату SSL не довіряють

Сертифікат не підписується довіреною владою (перевіряє кореневий магазин Mozilla). Якщо ви купили сертифікат у надійного органу, вам, мабуть, просто потрібно встановити один або кілька проміжних сертифікатів. Зверніться до свого постачальника сертифікатів, щоб допомогти це зробити для вашої платформи сервера.

2. Як я можу підключитися до сайту без SSL помилок, якщо це так?

Ланцюжок ваших сертифікатів неповний. Швидше за все, ваш постачальник не встановив проміжний сертифікат під час встановлення нового сертифіката.

Більшість разів такі проміжні сертифікати надаються органом SSL, щоб забезпечити підтримку деяких старих браузерів та операційних систем. Це причина, що, хоча вона працює для вас, вона не працює для деяких ваших клієнтів.

Дійсно чудовою утилітою для перевірки проблем із SSL на своєму веб-сайті є тест SSL-сервера на SSLlabs . Як ви бачите за посиланням вище, не тільки у вас виникає ланцюгова проблема, але й алгоритм підпису, який використовується для створення вашої cert, є слабким, ваш веб-сервер все ще вразливий до атаки POODLE і все ще підтримує RC4, який є також вважається незахищеним ...

Я не хочу нічого говорити проти вашого постачальника веб-серверів, але, на вашу позицію, я надішлю їх, щоб вони вирішили всі ці проблеми якнайшвидше, або змінили іншого постачальника ...

Для того, щоб сертифікат можна було довіряти, він повинен бути підписаний суб'єктом, який сам довіряє вашій комбінації браузера / ОС, або який, власним чином, був підписаний таким об'єктом. Зазвичай це робиться одним довіреним кореневим сервером CA, який підписує проміжний CA, а проміжний CA підписує ваш сертифікат. Це створює ланцюжок, як це:

1. Root CA, якому довіряє ваш комп’ютер, і знаки
2. Проміжний СА, який підписує
3. Ваш сертифікат, якому довіряють лише через ланцюг, що веде назад до кореня CA.

Проблема тут полягає в проміжному сертифікаті CA. Для того, щоб переконатися, що кожен може перевірити ланцюг аж до кореневого ЦС, ваш постачальник повинен включити проміжний сертифікат у свою конфігурацію сервера. У цьому випадку вони цього не зробили.

Причина, чому це працює для деяких користувачів, полягає в тому, що вони мають проміжний сертифікат у власному "магазині довіри". У таких випадках вони приймуть ваш сертифікат, оскільки вони вже довіряють проміжним. Але у випадку, коли ваші відвідувачі мають іншу ОС / браузер, вони не мають проміжного сертифіката, тому їм потрібно буде отримати його від вашого веб-сервера - а ваш веб-сервер не роздає, тому вони не мають можливості перевіряючи це.

Якщо ви використовували прив'язку відкритого ключа HTTP і ваш постачальник надав новий сертифікат, відкриті ключі, можливо, вже змінилися. Ці ключі зберігаються у браузері клієнта протягом вказаного періоду.