Erro openssl 19: “Certificado autoassinado na cadeia de certificados” quando digitado pelo GoDaddy

6

Alguém pode me ajudar a entender como verificar se meu certificado SSL está instalado corretamente (ou solucionar o problema porque não está)?

Instalei o certificado SSL GoDaddy no meu servidor Apache. Alguns usuários ainda estão relatando problemas (Algumas versões do IE dizem "Esta página não pode ser exibida" sem maiores explicações), e openssl diz que há um certificado 'auto-assinado' na cadeia. Por favor, note que isto é não um certificado autoassinado . É assinado pelo GoDaddy. Este artigo tem uma resposta relacionada que não funcionou: link

Aqui estão os passos que tomei:

Etapa 1: gerar uma chave privada

openssl req -out CSR.csr -new -newkey rsa:2048 -nodes -keyout privateKey.key

Etapa 2: vá para o GoDaddy e digite-o novamente colando CSR.csr .

Etapa 3: instale o arquivo crt e bundle no Apache e reinicie.

// In <VirtualHost>
SSLEngine on
SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP
SSLVerifyClient none
SSLCertificateFile      /path/to/allthingsinsurance.net.crt
SSLCertificateKeyFile   /path/to/privateKey.key
SSLCertificateChainFile /path/to/gd_bundle-g2.cr

% apachectl restart

Etapa 4: acesse qualquer uma das várias máquinas e não consiga verificar usando o openssl.

% openssl s_client -connect allthingsinsurance.net:443 -showcerts -CApath /etc/ssl/certs

...lots of output, shows certs I installed...
Verify return code: 19 (self signed certificate in certificate chain)

Etapa 5: acesse os serviços de validação SSL on-line e receba relatórios mistos:

  • whynopadlock.com: erro auto-assinado
  • ssltest.net: erro autoassinado
  • ssllabs.com: ok
  • crossbrowsertesting.com: erro semelhante
por Ben Allfree 24.07.2013 / 22:18

1 resposta

4

Se whynopadlock.com e ssltest.net reclamarem do certificado enquanto ssllabs.com diz que está tudo bem, verifique a configuração dos hosts virtuais. SSLLabs.com suporta SNI enquanto whynopadlock.com, ssltest.net e versões mais antigas do IE não.

Quando o SNI não é suportado pelo cliente, nenhum nome de servidor estará disponível para o servidor da Web, que então fará fallback para o primeiro virtualhost correspondente. Talvez você tenha outro host virtual para fins de teste que tenha precedência sobre o site principal.

A solução é alterar essa ordem ou usar um endereço IP dedicado para esse host.

    
por 26.07.2013 / 10:46