Срок действия сертификата SSL для одного из наших сайтов истек, и мне было поручено продлить его, несмотря на то, что я не являюсь администратором сервера. Я заполнил запрос сертификата и добавил его к сертификатам сервера. Затем я назначил этот новый сертификат привязкам https для рассматриваемого сайта.
Когда я просматриваю сертификат, он показывает истечение 2020 года от поставщика Entrust с хешем sha256 и отпечатком sha1.
Если я нахожусь в сети нашей компании и захожу на сайт, я вижу, что новый сертификат обслуживается правильно. Однако любой пользователь за пределами этой сети, в том числе если я отключусь, получит ошибку «Сертификат не доверяет». При проверке сертификата, который сейчас обслуживается, он показывает старый сертификат с истекшим сроком действия хэша SHA1.
Я проверил certlog с помощью DigiCertUtil и убедился, что нет хэшей SSL, соответствующих существующим действующим сертификатам. Также с этим сайтом не связаны никакие другие привязки HTTPS. Что мне здесь не хватает?
Если я нахожусь в сети нашей компании и захожу на сайт, я вижу, что новый сертификат обслуживается правильно. Однако любой пользователь за пределами этой сети,
Если вы видите действительный сертификат при прямом подключении, но не можете при внешнем подключении, это, вероятно, означает, что между вами и сервером есть какой-то прокси. Возможно, балансировщик нагрузки или какое-то устройство безопасности. Когда вы подключаетесь извне, внимательно посмотрите на адрес назначения, в который разрешается имя вашего сайта. Найдите систему с этим адресом и исправьте ее. Или найдите человека, ответственного за эту систему.
По сути, вам больше не следовало включать старый отпечаток sha1. Современные браузеры больше не используют этот метод шифрования, поскольку он небезопасен. Вам следует протестировать его в разных браузерах и системах вашей компании.
Во-вторых, некоторые провайдеры CA могут быть запрещены из-за предполагаемых попыток MITM (Man In The Middle Attack). Насколько мне известно, StartSSL.com уже заблокирован Mozilla Foundation, и все последние браузеры Mozilla Firefox больше не доверяют его ЦС, но StartSSL по-прежнему предоставляет ЦС.
В-третьих, проверьте свою цепочку ЦС. Цепочка CA обычно состоит из трех слоев более или менее. Если один из участников цепочки не от доверенных поставщиков, клиент не будет доверять ЦС.