Por que algumas pessoas estão obtendo uma página de conexão não segura ao acessar meu servidor, mesmo que a maioria das pessoas esteja obtendo uma conexão segura?

1

Eu tenho um servidor contendo apenas mídia (imagens). O servidor de mídia possui um certificado SSL adquirido da GoDaddy.

Se eu for para

https://media.mydomain.com/media/SiteImages2/KHeadshot.jpg

abre uma página contendo apenas a imagem JPG mencionada. Eu vejo o bloqueio "seguro" no Chrome, Firefox e Safari no meu Mac.

A maioria dos outros membros da nossa equipe também vê a mesma coisa.

Mas alguns membros da equipe recebem uma página de aviso. O aviso é diferente para navegadores diferentes, mas para o Firefox ele lê: "Sua conexão não é segura. O proprietário do media.mydomain.com configurou o site incorretamente. Para proteger suas informações de serem roubadas, o Firefox não está conectado a este site "

A maioria dos poucos usuários com esse problema só vê esse tipo de mensagem no Firefox. Um também disse que eles vêem no Chrome e no Safari. A maioria tem uma conexão segura com o bloqueio "seguro" verde com todos os navegadores, como eu faço.

Eu conversei com o suporte da GoDaddy e eles pacientemente testaram com todas as URLs que eu lhes dei e eles conseguiram uma conexão segura a cada vez e disseram que o site parece estar bem e o certificado SSL parece estar bem .

A sugestão deles era para o Google e ver se eu poderia encontrar uma resposta. Então eu vim para cá.

Eu não sou capaz de duplicar o problema, mas os resultados dos testes da equipe até o momento são os seguintes. Eu fiz eles limparem seus caches de navegador.

  • Usuário do Windows: Chrome e Edge ok, Firefox não
  • usuário do Mac: Chrome, Firefox, Safari tudo ok
  • Usuário do Mac: Chrome e Firefox ok
  • usuário do Mac: Chrome, Firefox, Sari tudo ok
  • Usuário do Mac: Chrome e Safari ok, Firefox não
  • Usuário do Windows: Edge ok
  • Usuário do Mac: Firefox e Opera ok
  • Usuário do Mac: Firefox, Chrome e Safari não estão todos ok

Alguma sugestão sobre o que pode ser a causa de alguns usuários em alguns navegadores?

    
por Doug Lerner 07.09.2017 / 03:53

1 resposta

3

Seu servidor parece estar enviando apenas o certificado da entidade final (servidor). Executando:

openssl s_client -connect media.edweb.net:443

retorna apenas o certificado do servidor.

No entanto, esse certificado foi assinado pela Autoridade de Certificação de Segurança da Starfield - G2 e esse certificado também precisa ser enviado pelo seu servidor. Você precisa falar com o administrador do servidor e apontá-los na direção da Seção 7.4.2 da RFC 5246 . Depois que eles entenderem o erro, eles precisarão reconfigurar o servidor da Web para enviar o servidor e o certificado de CA.

Seu site funciona para alguns clientes por dois motivos:

  1. Seu certificado tem a extensão AIA (Acesso a Informações da Autoridade), que contém o URL do certificado da CA ausente. Alguns clientes (principalmente a Microsoft e o Chrome for Windows - não sabem ao certo o que acontece no mundo Apple) usam essa URL para buscar o certificado ausente. Outros (notavelmente o Firefox) não e, portanto, não conseguirão criar a cadeia de certificados, mostrando assim erros.
  2. Os clientes armazenam em cache os certificados acessados anteriormente. Alguns de seus usuários terão encontrado este certificado CA ausente durante a navegação de rotina de sites configurados corretamente. O certificado será, portanto, armazenado em cache e poderá ser usado no processo de criação de cadeias ao visitar seu site. Por outro lado, navegadores que não o armazenaram em cache, mostrarão erros.

Portanto, os usuários que usam navegadores que não usam AIA e não têm o certificado em cache falharão.

Os usuários que usam navegadores que usam a extensão AIA ou têm o certificado de CA em cache não mostrarão erros.

    
por 08.09.2017 / 08:21