Como um certificado SSL pode funcionar apenas para alguns clientes?

Navegue suas respostas
10

Meu provedor de hospedagem recentemente reemitido e re-instalado um certificado SSL para o meu domínio, depois que eles deixam o antigo expirar por engano.

Agora estou conseguindo navegar o site por HTTPS novamente, assim como meu host, assim como vários outros usuários.

No entanto, alguns usuários (pelo menos uma dúzia de centenas) ainda recebem Your connection is not secure mensagens de erro em diferentes navegadores e plataformas. (É difícil diagnosticar um problema que não consigo reproduzir).

Eu entendo que navegadores diferentes usam diferentes listas de Autoridades de Certificação (CA)

  1. Por que um usuário executando a mesma versão do Firefox como eu (45.0.1 no OS X) está recebendo um erro SEC_ERROR_UNKNOWN_ISSUER (somente para o meu site) enquanto eu não estou? O que torna isso possível? O dito usuário limpou seu cache e reiniciou seu laptop.

Executei uma verificação de SSL SSL no digicert.com . O resultado é isto:

SSL Certificate is not trusted

The certificate is not signed by a trusted authority (checking against Mozilla's root store). If you bought the certificate from a trusted authority, you probably just need to install one or more Intermediate certificates. Contact your certificate provider for assistance doing this for your server platform.

  1. Por que eu posso me conectar ao site sem um erro SSL, se esse for o caso?
por Fabien Snauwaert 11.04.2016 / 14:20

3 respostas

20

A cadeia de certificados do seu certificado está incompleta. Provavelmente, o seu provedor não instalou algum certificado intermediário ao instalar o novo certificado.

Na maioria das vezes, esses certificados intermediários são fornecidos pela autoridade SSL para fornecer suporte a alguns navegadores e sistemas operacionais mais antigos. Essa é a razão pela qual, embora funcione para você, não funciona para alguns de seus clientes.

Um utilitário realmente excelente para verificar problemas de SSL com seu website é o SSL Teste de servidor pelo SSLlabs . Como você pode ver no link acima, não apenas você está tendo um problema de cadeia aqui, mas também o algoritmo de assinatura usado para criar seu certificado é fraco, seu servidor da Web ainda é vulnarable para o POODLE ataque e ainda suporta RC4, que também é considerado inseguro ...

Eu não quero dizer nada contra o seu provedor de servidor web, mas na sua posição eu enviaria um e-mail para eles, eles corrigiriam todos esses problemas o mais rápido possível ou mudariam para outro provedor ...

    
por 11.04.2016 / 14:33
12

Para que um certificado seja confiável, ele deve ser assinado por uma entidade que seja confiável por sua combinação de navegador / sistema operacional ou que, por sua vez, tenha sido assinada por essa entidade. Isso geralmente é feito por uma autoridade de certificação raiz confiável que assina uma autoridade de certificação intermediária e a autoridade de certificação intermediária assina seu certificado. Isso cria uma cadeia, assim:

  1. CA raiz que é confiável para seu computador e assina
  2. CA intermediária, que assina
  3. Seu certificado, que só é confiável devido à cadeia que leva de volta à CA raiz.

O problema aqui é com o certificado de CA intermediário. Para garantir que todos possam validar a cadeia até a CA raiz, o provedor deve incluir o certificado intermediário na configuração do servidor. Neste caso, eles não têm.

A razão pela qual isso funciona para alguns usuários é que eles têm o certificado intermediário em seu próprio "trust store". Nesses casos, eles aceitarão seu certificado porque já confiam no intermediário. Mas no caso em que seus visitantes têm um sistema operacional / navegador diferente, eles não têm o certificado intermediário, então eles precisariam obtê-lo do seu servidor da Web - e seu servidor da Web não o entrega, então eles não têm como verificando isso.

    
por 11.04.2016 / 14:32
0

Se você estava usando HTTP Public Key Pinning e seu provedor forneceu um novo certificado, as chaves públicas podem ter sido alteradas já. Essas chaves são salvas no navegador do cliente pelo período que você especificou.

    
por 16.04.2016 / 10:05

Tags

Executar programa toda vez que alguém efetua login via SSH em uma caixa do Linux Depois de ativar o HTTPS no meu servidor Apache2 - obtenho erros 404 em cada pedido [fechado]