Firefox não está recebendo a cadeia completa de certificados

1

Servidor: Windows 2012 R2 / IIS 8.5 usando SNI (Máquina virtual do Azure)

Eu tenho um certificado SSL que foi instalado e está funcionando em todos os navegadores, exceto Firefox e iOS Safari. A cadeia no Chrome e no IE aparece da seguinte forma:

Baltimore CyberTrust Root
---->XX Public Root Certification Authority
-------->XX Certification Authority
----------->xxx.domain.com

No Firefox e no Safari no iOS, você recebe uma mensagem dizendo que o site não é confiável e, se você visualizar o certificado por meio de Adicionar exceção, a cadeia aparecerá da seguinte maneira:

XX Certification Authority
----->xxx.domain.com

A XX Certification Authority assinou o certificado xx.domain.com. A Autoridade de Certificação Raiz Pública assinou a XX Certification Authority e a CyberTrust assinou a Certificação de Raiz Pública.

Os certificados intermediários estão no armazenamento de Autoridades de Certificação Intermediárias no servidor. Por algum motivo, o Firefox não fará o download da cadeia de certificados completa (ou o servidor não a está enviando). Eu tentei excluir cert8.db no perfil do Firefox e eu tive que acontecer em máquinas limpas de forma consistente.

Eu testei meu domínio em sslshopper.com e ssllabs.com. Eles não relatam erros e relatam que todos os certificados intermediários estão instalados corretamente.

    
por Jonathan 27.09.2015 / 05:06

2 respostas

2

They do not report any errors and report that all intermediate certificates are installed correctly.

Os sintomas que você descreve parecem muito contrários a essa afirmação. O Chrome (e o IE?) Faz o download de certificados intermediários ausentes, enquanto o Firefox e a maioria dos aplicativos móveis não. SSLLabs não marcará esses certificados intermediários como ausentes, mas eles serão marcados como "Extra Download".

Se esse não for o caso, verifique se o seu servidor tem IPv4 e IPv6 ativado e se a configuração do IPv6 é diferente. O SSLLabs não verifica a configuração do IPv6. Se o IPv6 for usado depende do sistema operacional, da conectividade e das preferências do navegador, isso também pode explicar essas diferenças. Outras diferenças nessa área são endereços IP diferentes do servidor, dependendo da localização ou de testes diferentes, por exemplo, www.example.com e às vezes apenas example.com .

    
por 27.09.2015 / 08:47
0

Depois de muita tentativa e erro, finalmente pude corrigi-lo. Eu não sei exatamente o que consertou, mas continuei a carregar vários certificados intermediários da minha autoridade de certificação. Embora eu tivesse carregado certificados intermediários que correspondiam à cadeia de certificados pelo nome, eles não combinavam com o número de série. Eu finalmente encontrei uma combinação que o Firefox e o iOS Safari gostaram. Ainda assim, o SSL Labs nunca mostrou download extra.

    
por 29.09.2015 / 16:01