O que há de errado com minha cadeia de confiança SSL?

Navegue suas respostas
10

O certificado SSL do meu site, link , não funciona no Android. Ao solucionar esse problema, eu pluguei meu site na ferramenta de testes Qualys SSL Labs:

link

Este relatório parece me dizer que tenho "problemas de cadeia". Algo está "incompleto". Mas estou tendo dificuldade em entender exatamente o que está incompleto.

Na próxima seção, em "Caminhos de certificação", vejo em laranja (e suponho que laranja significa "meio ruim") "Download extra". Não tenho ideia do que isso significa ou como consertá-lo. Eu encontrei este tópico , mas não posso dizer como traduzir o que eles estão dizendo em uma solução para mim.

O que devo fazer?

    
por Jason Swett 12.09.2014 / 14:26

2 respostas

5

Você configurou seu servidor para enviar apenas o certificado para os navegadores. Para a maioria dos navegadores de desktop, isso é bom porque eles já contêm muitos detalhes de CA raiz e intermediários, para que possam construir facilmente a cadeia de confiança. Para a maioria dos navegadores de dispositivos móveis, você geralmente precisa fornecer toda a cadeia de certificados, ou seja, seu próprio certificado, o da CA de emissão e quaisquer intermediários que possam existir entre essa e a CA raiz. O dispositivo móvel provavelmente terá os detalhes da CA raiz apenas neste cenário.

Para o seu certificado específico, você pode ler este artigo do helpdesk da Comodo: Base de Conhecimento: Comodo Autoridade de Certificação > Certificados > SSL > Instalação de Certificados

    
por 12.09.2014 / 14:37
4

Um certificado pode conter uma extensão especial Acesso a Informações da Autoridade ( RFC-3280 ) com URL para o certificado do emissor. A maioria dos navegadores pode usar a extensão AIA para baixar o certificado intermediário ausente para completar a cadeia de certificados. Mas alguns clientes (navegadores móveis, OpenSSL) não suportam esta extensão, então eles relatam tal certificado como não confiável.

Você pode resolver a questão cadeia de certificados incompleta manualmente concatenando todos os certificados do certificado ao certificado raiz confiável (exclusivo, nesta ordem), para evitar tais problemas. Tenha em atenção que o certificado raiz fidedigno não deve estar presente, uma vez que já está incluído no arquivo de certificados raiz do sistema.

Você deve conseguir obter certificados intermediários do emissor e reuni-los sozinho. Eu escrevi um script para automatizar o procedimento, ele faz um loop na extensão AIA para produzir a saída de certificados corretamente encadeados. link

    
por 19.01.2015 / 03:32

Tags

Rabbitmq - relatórios epmd: nó 'coelho' não está sendo executado? Como alterar o comportamento do endereço de broadcast global (255.255.255.255) no Windows?