Я установил SSL-сертификат Let's Encrypt для своего веб-сайта с помощью Certbot (CentOS 7). Каждый крупный веб-браузер успешно устанавливает https-соединение с моим веб-сервером, кроме Mozilla Firefox. Вот что я получаю в качестве предупреждения в Mozilla Firefox при попытке загрузить свой веб-сайт:
vozilo.rs uses an invalid security certificate.
The certificate is not trusted because the issuer certificate is unknown.
The server might not be sending the appropriate intermediate certificates.
An additional root certificate may need to be imported. Error code: SEC_ERROR_UNKNOWN_ISSUER
Вот отчет SSL Shopper.
Последние несколько дней я искал способ решить эту проблему, но не смог найти решения. Что мне нужно сделать, чтобы Firefox загружал мой веб-сайт без предупреждения SSL?
Вы должны обслуживать промежуточные сертификаты в цепочке сертификатов.
Вот что говорит связанный тест: «Сертификат не является доверенным во всех веб-браузерах. Вам может потребоваться установить промежуточный / цепной сертификат, чтобы связать его с доверенным корневым сертификатом».
Т.е. ожидается, что у клиента будет только корневой сертификат в своем хранилище доверенных сертификатов, вы должны обслуживать всю остальную часть цепочки.
Посмотрите, например, на Отчет SSLLabs, где отображается:
Chain issues: Incomplete, Extra certs
И в построенной цепочке он показывает:
2 Extra download Let's Encrypt Authority X3
Fingerprint SHA256: 25847d668eb4f04fdd40b12b6b0740c567da7d024308eb6c2c96fe41d9de218d
Pin SHA256: YLh1dUR9y6Kja30RrAn7JKnbQG/uEtLMkBgFF2Fuihg=
RSA 2048 bits (e 65537) / SHA256withRSA
(«Дополнительная загрузка» является ключом).
Обслуживайте как свой собственный сертификат, так и этот промежуточный, и клиенты с современным хранилищем доверия будут счастливы, ведь только ваш собственный сертификат - это скорее подбрасывание монеты.