Через пару месяцев после установки сертификата EV SSL мы получили электронное письмо от GoDaddy, в котором говорилось, что цепочка сертификатов неверна. Они попросили отключить «корневой сертификат GoDaddy Class 2» и убедиться, что у нас есть правильный сертификаты установлены. (по-видимому, я что-то напортачил, когда впервые настроил)
Однако я сам не видел ошибок сертификата за последние пару месяцев - но, по крайней мере, после внесения запрошенных изменений кажется, что сертификат тестируется сейчас ОК. (к сожалению, я не нашел этот сайт до тех пор, пока не внес изменения, поэтому я не знаю, что он тестировал раньше)
Поэтому мне интересно, что самое худшее, что могло случиться за это время. У некоторых людей не было зеленой полосы? Люди получили предупреждение? Или это неважно?
Я также немного обеспокоен тем, что на другие сертификаты, не относящиеся к EV, отключение всего, предназначенного для сертификата класса 2, возможно?
Худшее, что может случиться, - это то, что пользователи старых браузеров получат сообщение о том, что сертификату не доверяют. Второе худшее, что может случиться, - это то, что «зеленая полоса» не будет отображаться в некоторых браузерах.
Изменение отправляемых промежуточных сертификатов (даже путем отключения корневого) не должно влиять на другие сертификаты, не относящиеся к EV. Обычно вы можете доверять своему провайдеру сертификатов, чтобы знать, как добиться доверия и совместимости с их собственными сертификатами.
Если ваша цепочка неверна, наиболее вероятный сценарий состоит в том, что люди, которые иначе не имеют полной цепочки корневых сертификатов для сертификата, выдающего ваш CA, получат ошибки.
Сертификаты электромобилей довольно новые. Даже Thawte представила свою полную цепочку электромобилей только в более поздних версиях браузеров. Например, Firefox 2 и IE7 выдали бы ошибку проверки, если не обновили корневые сертификаты. IE6 и Firefox2 не будут отображать зеленую полосу, даже если сертификат проверяется без ошибок, поскольку браузер не поддерживает отображение зеленой полосы.
Существуют различные обходные пути, в том числе добавление полной цепочки на ваших серверах и «магия» клиентского JavaScript, предоставляемая центром сертификации и обновляющая клиентские сертификаты.