Chuỗi chứng chỉ SSL này có bị hỏng không và cách khắc phục?

Đối với chứng chỉ SSL trên miền example.com, một số thử nghiệm cho tôi biết chuỗi không đầy đủ và do Firefox giữ kho lưu trữ chứng chỉ của riêng mình, nên có thể thất bại trên Mozilla ( 1 , 2 , 3 ). Những người khác nói với tôi rằng nó ổn , cũng như Firefox 36, điều này cho tôi biết rằng chuỗi chứng chỉ vẫn ổn.

CẬP NHẬT: Tôi đã thử nghiệm trên Opera, Safari, Chrome và IE trên cả Windows XP và MacOS X Snow Leopard, tất cả đều hoạt động tốt. Nó chỉ thất bại trên Firefox <36 trên cả hai hệ điều hành. Tôi không có quyền truy cập để kiểm tra trên Linux, nhưng đối với trang web này, nó chỉ có ít hơn 1% khách truy cập và hầu hết có lẽ là bot. Vì vậy, điều này trả lời các câu hỏi ban đầu "thiết lập này có đưa ra cảnh báo trong Mozilla Firefox hay không" và "Chuỗi chứng chỉ SSL này có bị hỏng hay không?".

Do đó, câu hỏi là làm thế nào để tôi tìm ra những certs nào tôi cần đặt trong tệp ssl.ca để Apache có thể được phục vụ để giữ cho Firefox <36 không bị nghẹt?

PS: Như một lưu ý phụ, Firefox 36 tôi đã sử dụng để kiểm tra chứng chỉ là một bản cài đặt hoàn toàn mới. Không có cơ hội nó không phàn nàn vì nó đã tải xuống một chứng chỉ trung gian trong lần truy cập trước vào một trang web sử dụng cùng một chuỗi .

Nếu chuỗi là đủ phụ thuộc vào cửa hàng CA của khách hàng. Có vẻ như Firefox và Google Chrome đã bao gồm chứng nhận cho "Cơ quan chứng nhận COMODO RSA" vào cuối năm 2014. Đối với Internet Explorer, điều này có thể phụ thuộc vào HĐH cơ bản. CA có thể chưa được đưa vào các cửa hàng tin cậy được sử dụng bởi những người không phải trình duyệt, ví dụ như trình thu thập thông tin, ứng dụng di động, v.v.

Trong mọi trường hợp, chuỗi không hoàn toàn chính xác, như có thể thấy từ báo cáo SSLLabs :

• Một đường dẫn tin cậy cần CA mới được trình duyệt tin cậy. Trong trường hợp này, bạn vẫn gửi CA mới sai, vì các CA đáng tin cậy phải được tích hợp và không có trong chuỗi.
• Đường dẫn tin cậy khác là không đầy đủ, tức là nó cần tải thêm. Một số trình duyệt như Google Chrome thực hiện việc tải xuống này, trong khi các trình duyệt khác và không phải trình duyệt mong muốn tất cả các chứng chỉ cần thiết được chứa trong chuỗi vận chuyển. Do đó, hầu hết các trình duyệt và ứng dụng không tích hợp CA mới sẽ thất bại với trang web này.

Tôi đã liên lạc với Comodo và tải xuống tệp bundle.crt từ họ. Tôi đã đổi tên nó thành ssl.ca, theo thiết lập của máy chủ này và bây giờ chứng chỉ vượt qua tất cả các bài kiểm tra. Các Chain issues = Contains anchorthông báo không phải là một vấn đề (xem dưới đây).

SSL Labs, được coi là thử nghiệm đầy đủ nhất, hiện đang hiển thị Chain issues = Contains anchor, trong khi trước khi nó được sử dụng để hiển thị Chain issues = None(trong khi các thử nghiệm khác cho thấy có vấn đề với chuỗi). Đây thực sự không phải là vấn đề ( 1 , 2 ), ngoài 1kB thêm mà máy chủ gửi cho khách hàng.

Kết luận của tôi

1. Bỏ qua kiểm tra SSL Labs trong đó thông báo Chain issues = Contains anchorHOẶC xóa chứng chỉ gốc khỏi tệp gói (xem nhận xét này bên dưới).

2. Luôn luôn chạy thử nghiệm phụ trên ít nhất một trong ba địa điểm thử nghiệm khác ( 1 , 2 , 3 ) để đảm bảo chuỗi của bạn thực sự ổn khi SSL Labs nói Chain issues = None.