Я только что получил новый сертификат SSL - домен, который ранее был покрыт сертификатом SSL с подстановочными знаками. С момента установки прошло больше недели, и около 99% моих пользователей не испытывают проблем. Сейчас есть только один или два (о которых я знаю), которые получают предупреждение «Сайт не доверен», поэтому я предполагаю, что они видят старый сертификат при подключении. Есть ли способ заставить все браузеры использовать новый сертификат SSL при подключении? (это NGINX на Ubuntu)
Я предполагаю, что у вас есть проблема с вашим сертификатом (например, отсутствует промежуточный сертификат), и цепочка сертификации нарушена для некоторых клиентов / браузеров.
Лучше всего использовать внешние инструменты для проверки настроек SSL / TLS после того, как вы установили новый сертификат на сервер.
Хорошие инструменты Qualys SSL Labs или CryptCheck.
Помните, что Nginx не поддерживает промежуточные сертификаты. Вы должны объединить их в один файл и предоставить его через ssl_certificate вариант. Такой файл сертификата содержит ваш сертификат и все необходимые промежуточные сертификаты.
Если вам нравится использовать OCSP, есть вариант ssl_trusted_certificate это более или менее тот же файл, что указан выше, плюс корневой сертификат ЦС.
На самом деле ответ ssllabs.com очень полезен. Есть раздел «Дополнительные сертификаты (если есть)», в котором показаны все сертификаты вашего файла сертификата (тот, который установлен с опцией ssl_certificate). Вместе с разделом «Пути сертификации» вы можете увидеть различные пути сертификации и указать, какой сертификат использовался или какой сертификат отсутствует. Вы даже можете увидеть, какой из них устарел, если предоставили слишком много. Вы также можете использовать отпечаток SHA256 для поиска отсутствующего сертификата в Google, загрузить и исправить настройки.