Chứng chỉ SSL Comodo hiển thị không hợp lệ trên thiết bị Android


7

Tôi điều hành một trang web nơi tôi có đầy đủ cpanel và quyền truy cập hạn chế. Gần đây tôi đã nâng cấp một trong những tên miền của mình để bao gồm SSL (Trải nghiệm lần đầu tiên đối với tôi).

Chứng chỉ được cài đặt trong cpanel và ổ khóa nhỏ hạnh phúc của chúng tôi hiện đang hiển thị, điều này hoạt động hoàn hảo trên máy tính để bàn (tất cả các trình duyệt), iphones và một số điện thoại khác, tuy nhiên một lựa chọn các thiết bị Android cho biết chứng chỉ máy chủ không đáng tin cậy.

Tôi đã chạy thử nghiệm trên:

Công cụ kiểm tra riêng của Comodo nói "Không (chứng chỉ tự ký trong chuỗi chứng chỉ)"

Geocerts nói rằng " Không thể tìm thấy Chứng chỉ Root CA hợp lệ, chứng chỉ có thể sẽ hiển thị các cảnh báo của trình duyệt. "

SSLChecker nói rằng chuỗi này là tốt.

Symantec nói rằng chuỗi này là tốt.

Tôi đã tìm kiếm trên mạng, một nguồn không phải apache nói điều gì đó về việc hợp nhất tất cả các tệp .crt thành một và cài đặt nó trên máy chủ của bạn, nhưng tôi không chắc liệu điều đó có phù hợp với máy chủ apache không?

Tôi có, từ COMODO:

AddTrustExternalCARoot.crt
COMODORSAAddTrustCA.crt
COMODORSAOrganizationValidationSecureServerCA.crt
mydomain.crt

Tôi rất thích bất kỳ sự giúp đỡ nào từ những người biết họ đang nói gì về tôi, người đang thực hiện điều này khi tôi đi cùng :(


Những phiên bản của Android là gì? Ngoài ra, chia sẻ URL sẽ đi một chặng đường dài. Khi cài đặt SSL trong số 4 tệp bạn đã sử dụng trên máy chủ của mình, vì bạn nên sử dụng 2.
Simon Hayter

Sử dụng Cpanel, nó chỉ xuất hiện chứng chỉ mydomain.co.uk, tôi đã đọc tất cả các loại nội dung trực tuyến về chuỗi chứng chỉ, chứng nhận, cài đặt chúng theo đúng thứ tự :( tên miền là csnmotorcycletraining.co.uk
Gimboid

Câu trả lời:


4

Đơn giản, vấn đề ở đây là chứng chỉ chuỗi lên tới COMODO RSA Autority ở gốc chứ không phải AddTrustExternalCARoot. Các thiết bị Android không có Tổ chức chứng nhận COMODO RSA trong các cửa hàng gốc của họ, chỉ có AddTrustExternalCARoot.

Nếu chạy IIS, bạn nên tiếp tục và loại bỏ COMODORSACertertAutority trong kho lưu trữ gốc trên máy chủ web và đặt nó vào cửa hàng trung gian. Trên apache hoặc người khác, bạn nên đặt chuỗi chính xác trong tệp chuỗi.


1
Có cùng một vấn đề. Mặc dù việc xóa chứng chỉ khỏi các cửa hàng khác có vẻ đáng sợ, nhưng tôi đã chỉ giữ chứng chỉ Comodo RSA trong Cửa hàng trung gian. Mẹo, sao lưu những người khác đầu tiên chỉ để chắc chắn.
Moriarty

Bạn có thể được chỉ định nhiều hơn? Tôi là người mới bắt đầu và không nắm giữ bạn. Tôi có một máy chủ lưu trữ với cpanel và wordpress là CMS, tôi nên làm gì để giải quyết vấn đề này?
Milor123

Phantastic! Câu trả lời của bạn và nhận xét của @Moriarty cuối cùng đã giúp tôi làm cho nó hoạt động!
likeitlikeit

0

Kiểm tra chứng nhận SSL của bạn trên trang web của bạn Tôi có thể xác nhận rằng bạn đã sử dụng đúng các tệp có trong tệp zip được cung cấp bởi Comodo ,

Đối với những người đọc khác, Comodo SSL positiveSSL / EssentialSSL, 2 tệp được yêu cầu bởi cPanel hoặc WHM là:

  • example.crt (Chứng chỉ chính)
  • COMODORSAOrganizationValidationSecureServerCA.crt (CABundle)
  • example.key (Tệp chính, được cung cấp khi bạn tạo CSR)

Vấn đề địa chỉ, có thể ...

Tuy nhiên, mặc dù không phải là vấn đề về trình quản lý mà tôi nghĩ tôi muốn chia sẻ với bạn những phát hiện đầu tiên của tôi có thể gây ra một chút trọng lượng trong bảng xếp hạng địa phương với một số công cụ tìm kiếm lớn, chủ yếu là Google, sau khi bạn sử dụng SSL, tôi đoán là một trong những bạn lý do cho điều này là lợi ích SEO, dù sao đi nữa ...

[ quan trọng là ssl phù hợp]

Nếu bạn chưa biết Google đã sử dụng Thuật toán SEO địa phương khác với bảng xếp hạng hữu cơ thông thường của họ. Một trong những quan trọng nhất yếu tố seo địa phương sNAP nhất quán, và nếu bạn nhìn vào hình trên bạn có thể thấy rằng địa chỉ trên Google, không phải là một kết hợp chính xác, trong khi chúng tôi không thể nói chắc chắn rằng, Google quan tâm về khớp địa chỉ trong SSL chúng tôi hiện làm rằng tính nhất quán của NAP ở mọi nơi khác rất quan trọng, vì đây là trong tầm kiểm soát của bạn, đây là một sửa chữa dễ dàng.

Tôi khuyên bạn nên tạo lại yêu cầu ký của mình, hãy theo dõi bài viết trên blog của tôi nếu bạn cần một lời nhắc như thế nào, bước 1 (vì phần còn lại có liên quan đến WHM ). Ngoài ra, tôi sẽ xóa tên UNIT thành 'đào tạo' vì trừ khi tên này được đăng ký trong địa chỉ hoặc ở nơi nào khác, đăng ký giới hạn trên gov.uk sau đó loại bỏ nó, chỉ sử dụng UNIT nếu tổ chức này rất lớn.

Nếu SSL có các chi tiết chính xác nhưng Google không chính xác thì tôi khuyên bạn nên sửa lỗi này, một lần nữa tính nhất quán là chính, đảm bảo rằng tất cả các trích dẫn của bạn là khớp chính xác. Ngoài ra, hãy thử tránh bỏ lỡ LTD trong tên công ty trên các trang web bên ngoài và đừng quên kiểm tra tính nhất quán NAP của bạn trên công ty đăng ký công ty TNHH tại gov.uk/business vì việc trích dẫn này sẽ có trọng lượng lớn. Lý tưởng nhất là NAP phải có tên đầy đủ của doanh nghiệp bao gồm LTD trong tên và địa chỉ được đăng ký trên Royal Mail và số điện thoại 'địa phương' chính.

Nhưng dù sao, đây là về SSL không phải SEO địa phương, vì vậy, đủ để nói, hãy tiếp tục ...

Các vấn đề chính với SSL CERT

Hiện tại bạn có một số vấn đề lớn về phía máy chủ cần địa chỉ, hiện tại vô nghĩa có SSL với các lỗ hổng có thể khai thác mà máy chủ gặp phải, đây là những điểm sau:

  • Máy chủ này hỗ trợ các bộ ẩn danh (không an toàn) (xem bên dưới để biết chi tiết). Lớp được đặt thành F.
  • Máy chủ này hỗ trợ các tham số trao đổi khóa Diffie-Hellman (DH) yếu. Lớp giới hạn đến B.
  • Máy chủ này chấp nhận mật mã RC4, yếu. Lớp giới hạn đến B.
  • Máy chủ không hỗ trợ Chuyển tiếp bí mật với các trình duyệt tham chiếu.

Đây có thể là nguyên nhân gây ra sự cố trên Android, nhưng nếu không, chúng phải được giải quyết. Một điều khá phổ biến là các công ty lưu trữ web rất lười biếng khi sửa lỗi SSL, trên thực tế tôi thường xuyên gặp nó hàng tuần, nếu bạn gặp vấn đề, hãy tìm một máy chủ mới, không thể chấp nhận được, bảo mật là một trong những tính năng quan trọng nhất của web tổ chức. Đừng, không giải quyết bất cứ điều gì khác ngoài Trình kiểm tra SSL Qualys Labs loại A- hoặc A + .

Nếu việc khắc phục ở trên không giải quyết được vấn đề thì có khả năng là do chính SSL CERT, trên điện thoại Android cũ hơn, vì không phải tất cả các SSL CERTS đều giống nhau, một số hỗ trợ nhiều điện thoại / máy tính và hệ điều hành khác nhau. Nói chung, SSL càng đắt thì khả năng tương thích càng tốt, thông qua tôi chưa bao giờ gặp sự cố với Android ngay cả khi sử dụng SSL giá rẻ.

Cá nhân, tôi sẽ khắc phục các sự cố đã đề cập, sau đó kiểm tra nhưng đảm bảo rằng bạn đã kiểm tra nó trên nhiều Android và nếu có thể có phiên bản Android, vì những vấn đề này khác nhau chủ yếu về mặt hỗ trợ trình duyệt.


Xin chào Simon, cảm ơn vì sự giúp đỡ, tôi đã phát hiện ra những lo ngại về bảo mật và chuyển chúng đến máy chủ của tôi, người thực sự đã cắm tất cả chúng rồi!
Gimboid

@Gimboid lỗi vẫn xảy ra sau khi họ vá nó?
Simon Hayter

Tốt và xấu - Chuỗi chứng chỉ hiện tốt, bảo mật tốt hơn nhiều, nhưng họ cũng vô tình vô hiệu hóa TLS 1.0 và 1.1, vì vậy bây giờ mọi người trên các thiết bị Android cũ hơn không thể truy cập trang web của chúng tôi .....
Gimboid
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.