Dlaczego Android Chrome twierdzi, że certyfikat bezpieczeństwa mojej witryny nie jest zaufany?

14

Moja strona to https://blendbee.com . Korzysta z ważnego certyfikatu PositiveSSL.

W systemie Windows 8 Chrome certyfikat jest w porządku (zielona blokada w lewym górnym rogu).

Ale ... na moim Androidzie nie jest tak dobrze. Zrzut ekranu: http://postimg.org/image/6vc64lr1d/

Jakieś pomysły dlaczego?

Serwer działa Ubuntu 13.10 w Digital Ocean.

Kane
źródło
IIRC, niektóre certyfikaty Comodo nie są zaufane w starych wersjach Androida (2.x).
ceejayoz
1
Reprodukcja na KitKat 4.4.4. Więc to nie jest przypadek starego Androida.
Michael Hampton
2
Tak, to było na moim Samsungu Galaxy S5
Kane

Odpowiedzi:

16

Musisz podać cały łańcuch certyfikatów, aby był wyświetlany jako zaufany.

Oto link do instrukcji comodo dotyczących instalacji łańcucha certyfikatów w apache: https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/637/37/certificate-installation-apache-- mod_ssl

Otrzymałem to od http://www.sslshopper.com/ssl-checker.html#hostname=blendbee.com , co oznaczało, że twój certyfikat nie jest zaufany we wszystkich przeglądarkach z powodu niepełnego łańcucha.

austinian
źródło
1
Uwaga: jeśli otrzymujesz kilka plików .crt, ale nie ma pakietu, może być konieczne utworzenie własnego pliku pakietu, tak jak ja dla mojego certyfikatu comodo: support.comodo.com/index.php?/Knowledgebase/Article/View /
643/0
4

Certyfikat może zawierać specjalne rozszerzenie dostępu do informacji o urzędach ( RFC-3280 ) z adresem URL do certyfikatu wystawcy. Większość przeglądarek może użyć rozszerzenia AIA do pobrania brakującego certyfikatu pośredniego w celu uzupełnienia łańcucha certyfikatów. Ale niektórzy klienci (przeglądarki mobilne, OpenSSL) nie obsługują tego rozszerzenia, więc zgłaszają taki certyfikat jako niezaufany.

Możesz rozwiązać problem niepełnego łańcucha certyfikatów ręcznie, łącząc wszystkie certyfikaty z certyfikatu z zaufanym certyfikatem głównym (wyłącznie, w tej kolejności), aby zapobiec takim problemom. Uwaga: zaufany certyfikat główny nie powinien tam być, ponieważ jest już zawarty w głównej bazie certyfikatów systemu.

Powinieneś być w stanie pobrać certyfikaty pośrednie od emitenta i złączyć je razem. Napisałem skrypt, który automatyzuje procedurę, zapętla się nad rozszerzeniem AIA, aby generować dane wyjściowe poprawnie połączonych certyfikatów. https://github.com/zakjan/cert-chain-resolver

zakjan
źródło
-1

Ani root, ani certyfikat pośredni nie są zaufane przez Chrome, który, jak sądzę, używa natywnego zestawu CA Androida. Ten zestaw jest widoczny z settings->security->Trusted credentials.

To pytanie dotyczące reklamy android.se może pomóc w dalszym ciągu.

84104
źródło
Certyfikat root. był w magazynie zaufania, ale nie w pośrednim certyfikacie. Cert. łańcuch zawierający wszystkie produkty pośrednie nie został uwzględniony, a klient nie wspiął się po łańcuchu za pomocą rozszerzenia Access Information Authority (prawdopodobnie dlatego, że informacje nie zostały zawarte w certyfikacie przedstawionym przez serwer), aby sprawdzić, czy łańcuch doprowadził do zaufanego CA.
austriacki