Recebi relatos de usuários que visitaram nosso site recebendo erros "este certificado não é confiável" ao visitar nosso site por meio de https. Eu não pareço ter nenhum problema, mas duas pessoas separadas em minha equipe obtiveram este erro aleatoriamente quando estão em uma rede wifi diferente da que está em nosso escritório. Eles não têm o mesmo problema no escritório.
Eu li em certificados intermediários, mas isso parece ser apenas uma coisa do navegador, não um problema relacionado à rede.
Eu tenho um certificado SSL do GoDaddy, ele está em um aplicativo do Rails rodando em nginx + unicorn.
Alguém tem alguma outra ideia de por que isso pode acontecer? Estou muito perplexo.
Eu obtenho o abaixo (redigido) ao executar openssl s_client -connect $hostname:443 .
CONNECTED(00000003)
depth=2 C = US, O = "The Go Daddy Group, Inc.", OU = Go Daddy Class 2 Certification Authority
verify error:num=19:self signed certificate in certificate chain
verify return:0
Suponho que você já saiba como o SSL / TLS funciona: os certificados SSL precisam ser assinados por uma autoridade confiável (CA) e as autoridades confiáveis implementaram suas chaves públicas (certificados raiz) no software do navegador. As chaves privadas das autoridades confiáveis tornaram-se bastante valiosas e uma perda seria um acidente com credibilidade máxima. Portanto, as autoridades confiáveis (CA) bloquearam suas chaves privadas e não as utilizam para assinar solicitações comuns de certificados de seus clientes. Para isso, eles usam sub-certificados e sub-certificados secundários (nós os chamamos de certificados intermediários).
Seu navegador pode ver essa cadeia de confiança (seu certificado - > certificado intermediário # 2 do certificado intermediário CA - > # 1 do certificado raiz CA - > da autoridade de certificação) e segui-lo. / p>
Na verdade, a maioria dos certificados fornece mais de uma cadeia de confiança. Esse é um caso de retorno, caso os navegadores não tenham o certificado raiz correto implementado.
Para permitir que a maioria dos navegadores siga sua cadeia de confiança, você precisa concatenar seu certificado de servidor e todos os certificados intermediários necessários em um grande arquivo de texto. Reinicie seu servidor e teste com o OpenSSL se as cadeias de confiança do seu certificado estiverem funcionando.
Se você não estiver familiarizado com o OpenSSL, poderá usar o site do Qualys SSL Labs . Aqui você pode ver se todas as cadeias de confiança fornecidas estão funcionando, bem como outras informações úteis sobre sua configuração SSL / TLS.
Você pode adicionar um arquivo PEM contendo a cadeia confiável GoDaddy na diretiva SSLCertificateChainFile na sua configuração vhost.
Tags nginx ssl-certificate