W przypadku certyfikatu SSL w domenie example.com niektóre testy wykazały, że łańcuch jest niekompletny, a ponieważ Firefox utrzymuje własny magazyn certyfikatów, może się nie powieść w Mozilli ( 1 , 2 , 3 ). Inni twierdzą, że jest w porządku , podobnie jak Firefox 36, który mówi mi, że łańcuch certyfikatów jest w porządku.
AKTUALIZACJA: Testowałem na Opera, Safari, Chrome i IE na Windows XP i MacOS X Snow Leopard, wszystkie działają dobrze. Nie działa tylko w przeglądarce Firefox <36 w obu systemach operacyjnych. Nie mam dostępu do testów w systemie Linux, ale na tej stronie jest mniej niż 1% odwiedzających, a większość z nich to prawdopodobnie boty. Odpowiada to na pierwotne pytania „czy ta konfiguracja wyświetla ostrzeżenia w Mozilla Firefox, czy nie” i „Czy ten łańcuch certyfikatów SSL jest zepsuty, czy nie?”.
Dlatego pytanie brzmi: w jaki sposób dowiedzieć się, które certyfikaty muszę umieścić w pliku ssl.ca, aby mogły być obsługiwane przez Apache, aby nie dopuścić do zakrztuszenia się przeglądarki Firefox <36?
PS: Na marginesie, Firefox 36, którego testowałem, był zupełnie nową instalacją. Nie ma szans, żeby nie narzekał, ponieważ podczas poprzedniej wizyty na stronie korzystającej z tego samego łańcucha pobrał pośredni certyfikat .
Odpowiedzi:
To, czy łańcuch jest wystarczający, zależy od magazynu CA klienta. Wygląda na to, że Firefox i Google Chrome zawarły certyfikat dla „COMODO RSA Certification Authority” na koniec 2014 roku. W przypadku przeglądarki Internet Explorer prawdopodobnie zależy to od systemu operacyjnego. Urząd certyfikacji może nie zostać jeszcze uwzględniony w magazynach zaufania używanych przez przeglądarki niebędące przeglądarkami, tj. Przeszukiwacze, aplikacje mobilne itp.
W każdym razie łańcuch nie jest w pełni poprawny, jak widać z raportu SSLLabs :
źródło
Skontaktowałem się z Comodo i pobrałem z nich plik bundle.crt. Zmieniłem nazwę na ssl.ca, zgodnie z konfiguracją tego serwera, a teraz cert przechodzi wszystkie testy.
Chain issues = Contains anchor
Zawiadomienie nie jest problemem (patrz niżej).SSL Labs, powszechnie uważany za najbardziej kompletny test, teraz pokazuje
Chain issues = Contains anchor
, podczas gdy wcześniej pokazywałChain issues = None
(podczas gdy inni wykazywali problem z łańcuchem). To naprawdę nie jest problem ( 1 , 2 ), oprócz dodatkowego 1kB, który serwer wysyła do klienta.Mój wniosek
Zignoruj test SSL Labs, w którym jest napisane
Chain issues = Contains anchor
LUB usuń certyfikat główny z pliku pakietu (zobacz ten komentarz poniżej).Zawsze wykonuj test dodatkowy w co najmniej jednym z trzech pozostałych serwisów testowych ( 1 , 2 , 3 ), aby upewnić się, że Twój łańcuch jest naprawdę w porządku, gdy mówi SSL Labs
Chain issues = None
.źródło
02faf3e291435468607857694df5e45b68851868
to niepotrzebne.openssl x509 -fingerprint -in ssl.ca
i przybiłem, że część pliku, która ma odcisk palca,02faf3e291435468607857694df5e45b68851868
była pierwszą PEM. Usunąłem go, a teraz dostaję i.imgur.com/1iG2UCz.png i i.imgur.com/m8gYbdG.png (BŁĄD OCSP: Żądanie nie powiodło się ze statusem OCSP: 6 [ ocsp.comodoca.com] )