Недавно мы обновили SSL-сертификат Thawte для нашего веб-сервера Nginx. Раньше мы использовали SHA1 в качестве алгоритма подписи, но на этот раз мы использовали SHA256, который ведет к новому корневому сертификату, известному как «Thawte Primary Root CA - G3» (его можно найти на их веб-сайте - недостаточно репутации, чтобы разместить ссылку ).
С момента развертывания мы начали получать звонки от клиентов, использующих OS X, с сообщением об ошибке «Этот сертификат был подписан неизвестным органом» при переходе на страницу https.
Программа проверки сертификатов Thawte полностью довольна нашей установленной цепочкой сертификатов: https://ssltools.thawte.com/checker/views/certCheck.jsp (у нас есть наш сертификат, плюс промежуточное звено Thawte Extended Validation SHA256 SSL CA в pem-файле)
После тестирования мы обнаружили, что ошибки возникают в Safari, Opera и Chrome на OS X всех версий. Firefox был в порядке под OS X (я считаю, что он поставляется с собственным хранилищем доверенных сертификатов). Все браузеры в Windows работают нормально.
Когда мы проверили связку ключей доступа OS X, мы обнаружили, что первичный корневой центр сертификации thawte - G3 БЫЛ установлен, но каким-то образом браузеру не удавалось завершить цепочку.
Вот тестовый сайт (не наш), использующий те же промежуточные звенья и корень, который демонстрирует точно такие же симптомы под OS X:
Может ли кто-нибудь объяснить, почему OS X не распознает корневой ЦС для этого сайта как доверенный, когда он по умолчанию установлен в Связке ключей доступа OS X 10.9?
Только что поговорили со службой поддержки Thawte в чате, и они подтвердили, что это проблема и открытый случай с Apple (с 31 июля 2014 года) по этому вопросу. На данный момент нет ответа / ETA для исправления.
17 сентября 2014 года первичный корневой центр сертификации - G3 (промежуточный с подписью SHA-256) все еще не принимался последними операционными системами Mac.
Thawte отправил Apple номер ошибки 17095623, чтобы они исправили эту проблему.