Perché Android Chrome afferma che il certificato di sicurezza del mio sito non è attendibile?


14

Il mio sito è https://blendbee.com . Sta utilizzando un certificato PositiveSSL valido.

In Windows 8 Chrome il certificato va bene (blocco verde nell'angolo in alto a sinistra).

Ma ... sul mio Android, non è così bello. Schermata: http://postimg.org/image/6vc64lr1d/

Qualche idea sul perché?

Il server esegue Ubuntu 13.10 su Digital Ocean.


IIRC, alcuni certificati Comodo non sono affidabili nelle vecchie versioni di Android (2.x).
Ceejayoz,

1
Riprodotto su KitKat 4.4.4. Quindi non è un caso del vecchio Android.
Michael Hampton

2
Sì, questo era sul mio Samsung Galaxy S5
Kane il

Risposte:


16

È necessario fornire l'intera catena di certificati affinché venga visualizzata come attendibile.

Ecco il link che ho ricevuto per le istruzioni di comodo sull'installazione della catena di certificati in Apache: https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/637/37/certificate-installation-apache-- mod_ssl

L'ho preso da http://www.sslshopper.com/ssl-checker.html#hostname=blendbee.com , che ha contrassegnato il tuo certificato come non attendibile in tutti i browser a causa di una catena incompleta.


1
Come nota, se ottieni un sacco di file .crt ma nessun bundle, potresti dover creare il tuo file bundle come ho fatto per il mio comodo certificato: support.comodo.com/index.php?/Knowledgebase/Article/View /
643/0

4

Un certificato può contenere un'estensione speciale di accesso alle informazioni dell'autorità ( RFC-3280 ) con URL al certificato dell'emittente. La maggior parte dei browser può utilizzare l'estensione AIA per scaricare il certificato intermedio mancante per completare la catena di certificati. Ma alcuni client (browser per dispositivi mobili, OpenSSL) non supportano questa estensione, quindi segnalano tale certificato come non attendibile.

È possibile risolvere manualmente il problema incompleto della catena di certificati concatenando tutti i certificati dal certificato al certificato radice attendibile (esclusivo, in questo ordine), per evitare tali problemi. Nota, il certificato radice attendibile non dovrebbe essere presente, poiché è già incluso nell'archivio certificati radice del sistema.

Dovresti essere in grado di recuperare i certificati intermedi dall'emittente e concatenerli insieme da solo. Ho scritto uno script per automatizzare la procedura, si estende sull'estensione AIA per produrre output di certificati correttamente concatenati. https://github.com/zakjan/cert-chain-resolver


-1

Né il root né il certificato intermedio sono considerati affidabili da Chrome, che a mio avviso utilizza il set CA nativo di Android. Questo set è visualizzabile da settings->security->Trusted credentials.

Questa domanda su ad android.se potrebbe aiutare ulteriormente.


Il certificato di root. era nel negozio di fiducia, ma non il certificato intermedio. Il certificato. la catena contenente tutti gli intermedi non è stata inclusa e il client non stava salendo la catena utilizzando l'estensione Accesso alle informazioni dell'autorità (probabilmente perché le informazioni non erano incluse nel certificato come presentato dal server) per vedere se la catena portava a un trust CIRCA.
austinian,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.