Có gì sai với chuỗi tin cậy SSL của tôi?

10

Chứng chỉ SSL cho trang web của tôi, https://www.snipsalonsoftware.com/ , không hoạt động trên Android. Để khắc phục sự cố này, tôi đã cắm trang web của mình vào công cụ kiểm tra Qualys SSL Labs:

https://www.ssllabs.com/ssltest/analyze.html?d=www.snipsalonsoftware.com&s=50.57.181.104

Báo cáo này dường như cho tôi biết rằng tôi có "vấn đề về chuỗi". Một cái gì đó là "không đầy đủ". Nhưng tôi gặp khó khăn để hiểu chính xác những gì không đầy đủ.

Trong phần tiếp theo, trong "Đường dẫn chứng nhận", tôi thấy màu cam (và tôi đoán màu cam có nghĩa là "hơi xấu") "Tải xuống thêm". Tôi không biết điều này có nghĩa là gì hoặc làm thế nào để sửa nó. Tôi đã tìm thấy chủ đề này , nhưng tôi không thể nói làm thế nào để dịch những gì họ đang nói thành một giải pháp cho tôi.

Tôi nên làm gì?

ssl 
Jason Swett
nguồn

Câu trả lời:

5

Bạn đã cấu hình máy chủ của mình để chỉ gửi chứng chỉ đến các trình duyệt. Đối với hầu hết các trình duyệt máy tính để bàn, điều này là tốt vì chúng đã chứa rất nhiều chi tiết CA trung gian và gốc, vì vậy chúng có thể dễ dàng xây dựng chuỗi tin cậy. Đối với hầu hết các trình duyệt di động, bạn thường cần cung cấp toàn bộ chuỗi chứng chỉ, tức là chứng chỉ của riêng bạn, của CA phát hành và bất kỳ trung gian nào có thể tồn tại giữa đó và CA gốc. Thiết bị di động có thể sẽ chỉ có các chi tiết CA gốc trong kịch bản này.

Đối với bạn chứng nhận cụ thể, bạn có thể đọc bài viết trợ giúp Comodo này: Kiến thức: Cơ quan chứng nhận Comodo> Chứng chỉ> SSL> Cài đặt chứng chỉ

ThatGraemeGuy
nguồn
1
Cảm ơn. Hóa ra trang này đã dẫn đến câu trả lời, phần có nội dung: "SSLCertertChainFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle ***"
Jason Swett
4

Chứng chỉ có thể chứa tiện ích mở rộng Quyền truy cập thông tin cơ quan đặc biệt ( RFC-3280 ) với URL tới chứng chỉ của nhà phát hành. Hầu hết các trình duyệt có thể sử dụng tiện ích mở rộng AIA để tải xuống chứng chỉ trung gian bị thiếu để hoàn thành chuỗi chứng chỉ. Nhưng một số khách hàng (trình duyệt di động, OpenSSL) không hỗ trợ tiện ích mở rộng này, vì vậy họ báo cáo chứng chỉ đó là không đáng tin cậy.

Bạn có thể giải quyết vấn đề chuỗi chứng chỉ không đầy đủ bằng tay bằng cách ghép tất cả các chứng chỉ từ chứng chỉ với chứng chỉ gốc đáng tin cậy (độc quyền, theo thứ tự này), để ngăn chặn các vấn đề đó. Lưu ý, chứng chỉ gốc đáng tin cậy không nên ở đó, vì nó đã được bao gồm trong kho chứng chỉ gốc của hệ thống.

Bạn sẽ có thể lấy các chứng chỉ trung gian từ nhà phát hành và tự mình ghép chúng lại với nhau. Tôi đã viết một kịch bản để tự động hóa thủ tục, nó lặp lại phần mở rộng AIA để tạo đầu ra của các chứng chỉ được xâu chuỗi chính xác. https://github.com/zakjan/cert-chain-resolver

zakjan
nguồn
Câu trả lời tuyệt vời, đây là điều duy nhất giúp tôi. Tôi đã đưa ra kịch bản chứng chỉ của tôi (chỉ là chứng chỉ duy nhất của tôi chứ không phải gói) và nó đã tạo ra toàn bộ các certs cần thiết cho máy chủ web.
chỉ có
Cũng có một dịch vụ web cho việc này: certificatechain.io
RCoup
github.com/spatie/ssl-certert-chain-resolver - gói php cho điều đó nếu bạn không cóGo
shukshin.ivan
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.