Назад | Перейти на главную страницу

Почему некоторые люди получают страницу с незащищенным соединением при доступе к моему серверу, хотя большинство людей получают защищенное соединение?

У меня есть сервер, содержащий только медиа (изображения). Медиа-сервер имеет сертификат SSL, приобретенный у GoDaddy.

Если я пойду в

https://media.mydomain.com/media/SiteImages2/KHeadshot.jpg

он открывает страницу, содержащую только указанное изображение JPG. Я вижу "безопасную" блокировку в Chrome, Firefox и Safari на моем Mac.

Большинство других членов нашей команды тоже видят то же самое.

Но вместо этого некоторые члены команды получают страницу с предупреждением. Предупреждение отличается для разных браузеров, но для Firefox оно гласит: «Ваше соединение небезопасно. Владелец media.mydomain.com неправильно настроил свой веб-сайт. Чтобы защитить вашу информацию от кражи, Firefox не подключился к этому веб-сайту. . "

Большинство из немногих пользователей с этой проблемой видят такое сообщение только в Firefox. Один также сказал, что видит это в Chrome и Safari. Большинство из них, как и я, получают безопасное соединение с зеленой «безопасной» блокировкой во всех браузерах.

Я разговаривал со службой поддержки GoDaddy, и они терпеливо пытались протестировать все URL-адреса, которые я им давал, и им каждый раз удавалось получить безопасное соединение, и они сказали, что с сайтом все в порядке, а с сертификатом SSL все в порядке.

Их предложение заключалось в том, чтобы поискать в Google и посмотреть, смогу ли я найти ответ. Итак, я приехал сюда.

Я не могу воспроизвести проблему самостоятельно, но результаты командного тестирования пока следующие. Я попросил их очистить кеши браузера.

Любые предложения о том, что может быть причиной для некоторых пользователей в некоторых браузерах?

Кажется, ваш сервер отправляет только сертификат конечного объекта (сервера). Бег:

openssl s_client -connect media.edweb.net:443

возвращает только сертификат сервера.

Однако этот сертификат был подписан центром сертификации Starfield Secure - G2, и этот сертификат также должен быть отправлен вашим сервером. Вам нужно поговорить с администратором сервера и указать им в направлении RFC 5246, раздел 7.4.2. Как только они поймут свою ошибку, им необходимо перенастроить свой веб-сервер для отправки сертификата сервера и CA.

Ваш сайт работает для некоторых клиентов по двум причинам:

  1. Ваш сертификат имеет расширение доступа к информации о центрах сертификации (AIA), которое содержит URL-адрес отсутствующего сертификата CA. Некоторые клиенты (особенно Microsoft и Chrome для Windows - не знают, что делает в мире Apple) используют этот URL-адрес для получения отсутствующего сертификата. Другие (особенно Firefox) этого не делают и поэтому не смогут построить цепочку сертификатов, тем самым показывая ошибки.
  2. Клиенты кешируют ранее использованные сертификаты. Некоторые из ваших пользователей будут сталкиваться с этим отсутствующим сертификатом CA во время обычного просмотра правильно настроенных сайтов. Таким образом, сертификат будет кэширован и может быть использован в процессе построения цепочки при посещении вашего сайта. С другой стороны, браузеры, которые его не кэшировали, будут показывать ошибки.

Следовательно, пользователи, которые используют браузеры, не использующие AIA и не имеющие кэшированного сертификата, потерпят неудачу.

Пользователи, использующие браузеры с расширением AIA или имеющие кэшированный сертификат CA, не будут показывать никаких ошибок.