Назад | Перейти на главную страницу

Браузер все еще видит / использует старый сертификат SSL NGINX

Я только что получил новый сертификат SSL - домен, который ранее был покрыт сертификатом SSL с подстановочными знаками. С момента установки прошло больше недели, и около 99% моих пользователей не испытывают проблем. Сейчас есть только один или два (о которых я знаю), которые получают предупреждение «Сайт не доверен», поэтому я предполагаю, что они видят старый сертификат при подключении. Есть ли способ заставить все браузеры использовать новый сертификат SSL при подключении? (это NGINX на Ubuntu)

Я предполагаю, что у вас есть проблема с вашим сертификатом (например, отсутствует промежуточный сертификат), и цепочка сертификации нарушена для некоторых клиентов / браузеров.

Лучше всего использовать внешние инструменты для проверки настроек SSL / TLS после того, как вы установили новый сертификат на сервер.

Хорошие инструменты Qualys SSL Labs или CryptCheck.

Помните, что Nginx не поддерживает промежуточные сертификаты. Вы должны объединить их в один файл и предоставить его через ssl_certificate вариант. Такой файл сертификата содержит ваш сертификат и все необходимые промежуточные сертификаты.

Если вам нравится использовать OCSP, есть вариант ssl_trusted_certificate это более или менее тот же файл, что указан выше, плюс корневой сертификат ЦС.

На самом деле ответ ssllabs.com очень полезен. Есть раздел «Дополнительные сертификаты (если есть)», в котором показаны все сертификаты вашего файла сертификата (тот, который установлен с опцией ssl_certificate). Вместе с разделом «Пути сертификации» вы можете увидеть различные пути сертификации и указать, какой сертификат использовался или какой сертификат отсутствует. Вы даже можете увидеть, какой из них устарел, если предоставили слишком много. Вы также можете использовать отпечаток SHA256 для поиска отсутствующего сертификата в Google, загрузить и исправить настройки.