ทำไม Android Chrome ถึงบอกว่าใบรับรองความปลอดภัยของเว็บไซต์ของฉันไม่น่าเชื่อถือ


14

เว็บไซต์ของฉันคือhttps://blendbee.com กำลังใช้ใบรับรอง PositiveSSL ที่ถูกต้อง

ใน Windows 8 Chrome ใบรับรองถูกต้อง (ล็อคสีเขียวที่มุมซ้ายบน)

แต่ ... บน Android ของฉันมันไม่ค่อยดีเท่าไหร่ สกรีนช็อต : http://postimg.org/image/6vc64lr1d/

ความคิดใด ๆ

เซิร์ฟเวอร์ใช้งาน Ubuntu 13.10 ที่ Digital Ocean


IIRC, ใบรับรอง Comodo บางอย่างไม่น่าเชื่อถือใน Android รุ่นเก่า (2.x)
ceejayoz

1
ทำซ้ำใน KitKat 4.4.4 ดังนั้นมันจึงไม่ใช่กรณีของAndroid รุ่นเก่า
Michael Hampton

2
ใช่นี่คือ Samsung Galaxy S5 ของฉัน
Kane

คำตอบ:


16

คุณต้องจัดเตรียมห่วงโซ่ใบรับรองทั้งหมดเพื่อให้ปรากฏเป็นที่เชื่อถือได้

นี่คือลิงค์ที่ฉันได้รับสำหรับคำแนะนำของ comodo ในการติดตั้งใบรับรองเชนใน apache: https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/637/37/certificate-installation-apache-- mod_ssl

ฉันได้รับสิ่งนี้จากhttp://www.sslshopper.com/ssl-checker.html#hostname=blendbee.comซึ่งทำเครื่องหมายใบรับรองของคุณว่าไม่น่าเชื่อถือในเบราว์เซอร์ทั้งหมดเนื่องจากมีสายที่ไม่สมบูรณ์


1
โปรดทราบว่าหากคุณได้รับไฟล์. crt จำนวนมาก แต่ไม่มีบันเดิลคุณอาจต้องสร้างไฟล์บันเดิลของคุณเองอย่างที่ฉันทำไว้กับ comodo cert: support.comodo.com/index.php?/Knowledgebase/Article/View /
643/0

4

ใบรับรองสามารถมีส่วนขยายการเข้าถึงข้อมูลของหน่วยงานพิเศษ( RFC-3280 ) พร้อม URL ไปยังใบรับรองของผู้ออกใบรับรอง เบราว์เซอร์ส่วนใหญ่สามารถใช้ส่วนขยาย AIA เพื่อดาวน์โหลดใบรับรองระดับกลางที่ขาดหายไปเพื่อทำให้ห่วงโซ่ใบรับรองสมบูรณ์ แต่ลูกค้าบางคน (เบราว์เซอร์มือถือ OpenSSL) ไม่รองรับส่วนขยายนี้ดังนั้นพวกเขาจึงรายงานใบรับรองดังกล่าวว่าไม่น่าเชื่อถือ

คุณสามารถแก้ไขปัญหาห่วงโซ่ใบรับรองที่ไม่สมบูรณ์ได้ด้วยตนเองโดยเชื่อมต่อใบรับรองทั้งหมดจากใบรับรองกับใบรับรองรูทที่เชื่อถือได้ (พิเศษตามลำดับนี้) เพื่อป้องกันปัญหาดังกล่าว หมายเหตุใบรับรองรูทที่เชื่อถือได้ไม่ควรอยู่ที่นั่นเพราะรวมอยู่ในที่เก็บใบรับรองรูทของระบบแล้ว

คุณควรจะสามารถดึงใบรับรองระดับกลางจากผู้ออกใบรับรองและต่อกันด้วยตัวคุณเอง ฉันได้เขียนสคริปต์เพื่อทำให้กระบวนการทำงานเป็นอัตโนมัติมันวนซ้ำผ่านส่วนขยาย AIA เพื่อสร้างผลลัพธ์ของใบรับรองที่ถูกผูกมัดอย่างถูกต้อง https://github.com/zakjan/cert-chain-resolver


-1

Chrome และใบรับรองระดับกลางไม่น่าเชื่อถือโดย Chrome ซึ่งฉันเชื่อว่าใช้ชุด CA ดั้งเดิมของ Android settings->security->Trusted credentialsชุดที่สามารถดูได้จาก

คำถามนี้เกี่ยวกับโฆษณา android.se อาจช่วยเพิ่มเติมได้


ใบรับรองหลัก อยู่ใน Trust store แต่ไม่ใช่ใบรับรองกลาง ใบรับรอง chain ที่มีตัวกลางทั้งหมดไม่รวมอยู่และไคลเอ็นต์ไม่ได้ปีนขึ้น chain โดยใช้ส่วนขยาย Authority Information Access (อาจเป็นเพราะข้อมูลไม่รวมอยู่ในใบรับรองตามที่เซิร์ฟเวอร์นำเสนอ) เพื่อดูว่า chain นั้นน่าเชื่อถือหรือไม่ แคลิฟอร์เนีย
austinian
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.