Cert de Start SSL não é confiável

Navegue suas respostas
1

Em um site pequeno e não comercial, estou usando um certificado Classe 1 gratuito de Start SSL . Não há dados confidenciais transmitidos, mas eu sinto que gostaria de fornecer pelo menos um mínimo de privacidade para quem navega no site. Ao visitar o site no Firefox, recebe-se o aviso "Cert confiável não confiável". Aqui está um exemplo usando wget : 

$ wget https://example.com/images/dog.jpg
--2013-08-09 15:21:10--  https://example.com/images/dog.jpg
Resolving example.com (example.com)... 54.43.17.16
Connecting to example.com (example.com)|54.43.17.16|:443... connected.
ERROR: The certificate of 'example.com' is not trusted.
ERROR: The certificate of 'example.com' hasn't got a known issuer.

A entrada de FAQ do StartSSL indica que para evitar o aviso, é necessário instalar o certificado de CA intermediário para o navegador. É um pouco irracional esperar que todos os visitantes do site façam isso!

Não me importo de instalar um certificado de uma empresa maior, mas ao pesquisar a situação, acho que o maior as empresas têm o mesmo problema . Outra multa A pergunta ServerFault menciona que o administrador do servidor deve instalar um certificado intermediário, mas não tenho certeza se existe um certificado intermediário para o Start SSL. Antes de me mudar para outra empresa, como saberia se eles têm todos os certificados intermediários adequados de que precisaríamos? Como as duas perguntas anteriores demonstram, mesmo a Verisign ou a GoDaddy podem não resolver o problema.

Esta é uma pilha LAMP convencional (Ubuntu Server 12.04, Apache 2.2) em execução no Amazon Web Services.

    
por dotancohen 09.08.2013 / 17:42

3 respostas

10

As instruções de instalação não se referem apenas ao arquivo de certificado intermediário, mas fornecem um link para download-lo . 

   SSLCertificateChainFile /usr/local/apache/conf/sub.class1.server.ca.pem
    
por 09.08.2013 / 17:45
6

Eu já tive certificados do StartSSL e você precisará configurar o Apache para servir o certificado intermediário para completar a cadeia.

Você precisará:

  • Faça o download do certificado a partir do StartSSL e faça o upload para sua instância do EC2
  • Adicione uma diretiva SSLCertificateChainFile à sua configuração do Apache VirtualHost
  • Reinicie o Apache

Editar - gah, ninja. Boas respostas:)

    
por 09.08.2013 / 17:48
5

Você precisa descobrir se você deve ter um certificado intermediário ou não. Se, então, você tiver o seu servidor fornecendo-o na cadeia, isso ajudará os clientes que não tiverem uma cadeia válida (supondo que eles tenham o certificado raiz StartSSL instalado localmente).

Isso pode não ser o caso e isso não ajudará as pessoas que ainda não têm o certificado raiz do StartSSL confiável localmente. Você não pode ajudar essas pessoas, embora precisem instalá-las para evitar o aviso.

    
por 09.08.2013 / 17:45

Tags

Bloqueio NetDiag + TCP? Você deve forçar seus desenvolvedores a executar um proxy? [fechadas]