Cosa c'è di sbagliato nella mia catena di fiducia SSL?

10

Il certificato SSL per il mio sito, https://www.snipsalonsoftware.com/ , non funziona su Android. Nella risoluzione di questo problema ho inserito il mio sito nello strumento di test Qualys SSL Labs:

https://www.ssllabs.com/ssltest/analyze.html?d=www.snipsalonsoftware.com&s=50.57.181.104

Questo rapporto sembra dirmi che ho "problemi di catena". Qualcosa è "incompleto". Ma ho difficoltà a capire esattamente cosa è incompleto.

Nella sezione successiva, sotto "Percorsi di certificazione", vedo in arancione (e suppongo che arancione significhi "kinda bad") "Download extra". Non ho idea di cosa significhi o come risolverlo. Ho trovato questa discussione , ma non so come tradurre ciò che stanno dicendo in una soluzione per me.

Cosa dovrei fare?

ssl 
Jason Swett
fonte

Risposte:

5

Hai configurato il tuo server per inviare il certificato solo ai browser. Per la maggior parte dei browser desktop, questo va bene perché contengono già molti dettagli di CA intermedi e root, in modo da poter costruire facilmente la catena di fiducia. Per la maggior parte dei browser mobili, in genere è necessario fornire l'intera catena di certificati, ovvero il proprio certificato, quello della CA emittente e tutti gli intermedi che potrebbero esistere tra quella e la CA radice definitiva. Il dispositivo mobile avrà probabilmente i dettagli della CA principale solo in questo scenario.

Per il tuo certificato specifico, puoi leggere questo articolo dell'helpdesk di Comodo: Base di conoscenza: Autorità di certificazione Comodo> Certificati> SSL> Installazione certificati

ThatGraemeGuy
fonte
1
Grazie. Si è rivelato essere questa pagina che ha portato alla risposta, la parte che dice: "SSLCertificateChainFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle ***"
Jason Swett
4

Un certificato può contenere un'estensione speciale di accesso alle informazioni dell'autorità ( RFC-3280 ) con URL al certificato dell'emittente. La maggior parte dei browser può utilizzare l'estensione AIA per scaricare il certificato intermedio mancante per completare la catena di certificati. Ma alcuni client (browser per dispositivi mobili, OpenSSL) non supportano questa estensione, quindi segnalano tale certificato come non attendibile.

È possibile risolvere manualmente il problema incompleto della catena di certificati concatenando tutti i certificati dal certificato al certificato radice attendibile (esclusivo, in questo ordine), per evitare tali problemi. Nota, il certificato radice attendibile non dovrebbe essere presente, poiché è già incluso nell'archivio certificati radice del sistema.

Dovresti essere in grado di recuperare i certificati intermedi dall'emittente e concatenerli insieme da solo. Ho scritto uno script per automatizzare la procedura, si estende sull'estensione AIA per produrre output di certificati correttamente concatenati. https://github.com/zakjan/cert-chain-resolver

zakjan
fonte
Risposta fantastica, questa è l'unica cosa che mi ha aiutato. Ho dato alla sceneggiatura il mio certificato (solo il mio singolo certificato, non il pacchetto) e ha creato l'intera pila di certificati necessari per il server web.
solo il
C'è anche un servizio web per questo: certificatechain.io
rcoup
github.com/spatie/ssl-certificate-chain-resolver - pacchetto php per questo se non haiGo
shukshin.ivan
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.