Esta cadeia de certificados SSL está quebrada e como corrigir isso?

13

Para o certificado SSL no domínio example.com, alguns testes me dizem que a cadeia está incompleta e como o Firefox mantém seu próprio armazenamento de certificados, ele pode falhar no Mozilla ( 1 , 2 , 3 ). Outros me dizem que está tudo bem , assim como o Firefox 36, que me diz que a cadeia de certificados está bem.

ATUALIZAÇÃO: Eu testei no Opera, Safari, Chrome e IE tanto no Windows XP quanto no MacOS X Snow Leopard, todos eles funcionam bem. Só falha no Firefox < 36 em ambos os sistemas operacionais. Eu não tenho acesso para testar no Linux, mas para este site é menos de 1% dos visitantes, e a maioria provavelmente são bots. Então, isso responde as perguntas originais "esta configuração traz avisos no Mozilla Firefox ou não" e "Esta cadeia de certificados SSL está quebrada ou não?".

Portanto, a questão é como descubro quais certificados preciso colocar no arquivo ssl.ca para que eles possam ser atendidos pelo Apache para manter o Firefox < 36 de asfixia?

PS: Como uma nota lateral, o Firefox 36 que eu usei para testar o certificado foi uma nova instalação. Não há nenhuma chance de não reclamar porque teve o download de um certificado intermediário durante uma visita anterior a um site que usa a mesma cadeia .

    
por Gaia 17.03.2015 / 10:56

2 respostas

7

Eu entrei em contato com o Comodo e baixei um arquivo bundle.crt deles. Eu o renomei para ssl.ca, de acordo com a configuração deste servidor, e agora o certificado passa por todos os testes. A Chain issues = Contains anchor notice não é um problema (veja abaixo).

SSL Labs, amplamente considerado como o teste mais completo, agora mostra Chain issues = Contains anchor , enquanto antes costumava exibir Chain issues = None (enquanto os outros mostraram um problema com a cadeia). Este é realmente um não-problema ( 1 , 2 ), além de um adicional de 1kB que o servidor envia para o cliente.

Minha conclusão

  1. Ignore o teste SSL Labs , onde diz Chain issues = Contains anchor OR remover o certificado raiz do arquivo do pacote ( veja este comentário abaixo).

  2. Sempre execute um teste secundário em pelo menos um dos outros três sites de teste ( 1 , 2 , 3 ) para garantir sua cadeia está realmente bem quando SSL Labs diz Chain issues = None .

por 17.03.2015 / 19:23
8

Se a cadeia for suficiente, depende do armazenamento de CA do cliente. Parece que o Firefox e o Google Chrome incluíram o certificado para "COMODO RSA Certification Authority" no final de 2014. Para o Internet Explorer, ele provavelmente depende do SO subjacente. A autoridade de certificação talvez ainda não esteja incluída em repositórios confiáveis usados por não-navegadores, por exemplo, rastreadores, aplicativos para dispositivos móveis etc.

Em qualquer caso, a cadeia não está totalmente correta, como pode ser visto no relatório SSLLabs :

  • Um caminho de confiança precisa que a nova autoridade de certificação seja confiável pelo navegador. Nesse caso, você ainda envia a nova CA que está errada, porque as CAs confiáveis devem ser integradas e não estarem contidas na cadeia.
  • O outro caminho de confiança está incompleto, ou seja, ele precisa de um download extra. Alguns navegadores, como o Google Chrome, fazem o download, enquanto outros navegadores e não navegadores esperam que todos os certificados necessários estejam contidos dentro da cadeia enviada. Assim, a maioria dos navegadores e aplicativos que não possuem a nova CA integrada falhará com este site.
por 17.03.2015 / 11:19