Назад | Перейти на главную страницу

Нарушена ли эта цепочка сертификатов SSL и как это исправить?

Для сертификата SSL в домене example.com некоторые тесты говорят мне, что цепочка неполная и, поскольку Firefox сохраняет собственное хранилище сертификатов, он может не работать в Mozilla (1, 2, 3). Другие говорят мне, что это нормально, как и Firefox 36, который говорит мне, что цепочка сертификатов в порядке.

ОБНОВЛЕНИЕ: я тестировал Opera, Safari, Chrome и IE как на Windows XP, так и на MacOS X Snow Leopard, все они работают нормально. Он не работает только в Firefox <36 в обеих ОС. У меня нет доступа к тестированию в Linux, но для этого веб-сайта это менее 1% посетителей, и большинство из них, вероятно, являются ботами. Таким образом, это отвечает на исходные вопросы «вызывает ли эта настройка предупреждения в Mozilla Firefox или нет» и «нарушена ли эта цепочка сертификатов SSL?».

Поэтому возникает вопрос как мне узнать, какие сертификаты мне нужно поместить в файл ssl.ca, чтобы их мог обслуживать Apache, чтобы Firefox <36 не завис?

PS: Кстати, Firefox 36, который я использовал для тестирования сертификата, был совершенно новой установкой. Нет шансов, что он не жаловался, потому что скачал промежуточный сертификат во время предыдущего посещения сайта, который использует ту же цепочку.

Я связался с Comodo и скачал с них файл bundle.crt. Я переименовал его в ssl.ca в соответствии с настройками этого сервера, и теперь сертификат проходит все тесты. В Chain issues = Contains anchor уведомление не проблема (см. ниже).

SSL Labs, широко считается наиболее полным тестом, теперь показывает Chain issues = Contains anchor, тогда как раньше он показывал Chain issues = None (в то время как другие показали проблему с цепью). Это действительно не проблема (1, 2), помимо дополнительных 1 КБ, которые сервер отправляет клиенту.

Мой вывод

  1. Игнорировать SSL Labs тест, где написано Chain issues = Contains anchor ИЛИ удалите корневой сертификат из файла пакета (см. Этот комментарий ниже).

  2. Всегда запускайте вторичный тест хотя бы на одном из трех других тестовых сайтов (1, 2, 3), чтобы убедиться, что ваша цепь в порядке, когда SSL Labs говорит Chain issues = None.

Если цепочка достаточна, это зависит от хранилища CA клиента. Похоже, что Firefox и Google Chrome включили сертификат для «COMODO RSA Certification Authority» в конце 2014 года. Для Internet Explorer это, вероятно, зависит от базовой ОС. CA может еще не быть включен в доверенные хранилища, используемые не браузерами, то есть сканерами, мобильными приложениями и т. Д.

В любом случае цепочка не совсем правильная, как видно из Отчет SSLLabs:

  • Для одного пути доверия необходимо, чтобы новый ЦС пользовался доверием браузера. В этом случае вы по-прежнему отправляете новый ЦС, который является неправильным, потому что доверенные ЦС должны быть встроенными и не входить в цепочку.
  • Другой путь доверия неполный, т.е. требует дополнительной загрузки. Некоторые браузеры, такие как Google Chrome, выполняют эту загрузку, в то время как другие браузеры и другие браузеры ожидают, что все необходимые сертификаты будут содержаться в поставляемой цепочке. Таким образом, большинство браузеров и приложений, не имеющих встроенного нового центра сертификации, не смогут работать с этим сайтом.