เกิดอะไรขึ้นกับความน่าเชื่อถือ SSL ของฉัน

10

ใบรับรอง SSL สำหรับเว็บไซต์ของฉันhttps://www.snipsalonsoftware.com/ไม่สามารถใช้งานบน Android ในการแก้ไขปัญหานี้ฉันได้เสียบไซต์ของฉันเข้ากับเครื่องมือทดสอบ Qualys SSL Labs:

https://www.ssllabs.com/ssltest/analyze.html?d=www.snipsalonsoftware.com&s=50.57.181.104

รายงานนี้ดูเหมือนจะบอกฉันว่าฉันมี "ปัญหาห่วงโซ่" บางสิ่งบางอย่าง "ไม่สมบูรณ์" แต่ฉันมีปัญหาในการทำความเข้าใจสิ่งที่ไม่สมบูรณ์

ในส่วนถัดไปภายใต้ "เส้นทางการรับรอง" ฉันเห็นเป็นสีส้ม (และฉันเดาว่าสีส้มหมายถึง "ไม่ดี") "ดาวน์โหลดเพิ่มเติม" ฉันไม่รู้ว่าสิ่งนี้มีความหมายอย่างไรหรือจะแก้ไขอย่างไร ฉันพบกระทู้นี้แต่ฉันไม่สามารถบอกวิธีการแปลสิ่งที่พวกเขากำลังพูดถึงวิธีแก้ปัญหาสำหรับฉัน

ฉันควรทำอย่างไรดี?

ssl 
Jason Swett
แหล่งที่มา

คำตอบ:

5

คุณได้กำหนดค่าเซิร์ฟเวอร์ของคุณให้ส่งใบรับรองไปยังเบราว์เซอร์เท่านั้น สำหรับเบราว์เซอร์เดสก์ท็อปส่วนใหญ่สิ่งนี้ใช้ได้เนื่องจากมีรายละเอียด CA ระดับกลางและรูทจำนวนมากอยู่แล้วดังนั้นพวกเขาจึงสามารถสร้างเครือข่ายของความไว้วางใจได้อย่างง่ายดาย สำหรับเบราว์เซอร์มือถือส่วนใหญ่โดยทั่วไปคุณจำเป็นต้องจัดเตรียมใบรับรองห่วงโซ่ทั้งหมดเช่นใบรับรองของคุณเองของ CA ที่ออกและตัวกลางใด ๆ ที่อาจมีอยู่ระหว่างนั้นและ CA รูตสุดท้าย อุปกรณ์เคลื่อนที่น่าจะมีรายละเอียด CA หลักในสถานการณ์นี้เท่านั้น

สำหรับใบรับรองเฉพาะของคุณคุณสามารถอ่านบทความช่วยเหลือของ Comodo นี้ได้ที่: คลังความรู้: Comodo Certification Authority> ใบรับรอง> SSL> การติดตั้งใบรับรอง

ThatGraemeGuy
แหล่งที่มา
1
ขอบคุณ มันกลับกลายเป็นหน้านี้ที่นำไปสู่คำตอบส่วนที่กล่าวว่า: "SSLCertificateChainFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle ***"
Jason Swett
4

ใบรับรองสามารถมีส่วนขยายการเข้าถึงข้อมูลของหน่วยงานพิเศษ( RFC-3280 ) พร้อม URL ไปยังใบรับรองของผู้ออกใบรับรอง เบราว์เซอร์ส่วนใหญ่สามารถใช้ส่วนขยาย AIA เพื่อดาวน์โหลดใบรับรองระดับกลางที่ขาดหายไปเพื่อทำให้ห่วงโซ่ใบรับรองสมบูรณ์ แต่ลูกค้าบางคน (เบราว์เซอร์มือถือ OpenSSL) ไม่รองรับส่วนขยายนี้ดังนั้นพวกเขาจึงรายงานใบรับรองดังกล่าวว่าไม่น่าเชื่อถือ

คุณสามารถแก้ไขปัญหาห่วงโซ่ใบรับรองที่ไม่สมบูรณ์ได้ด้วยตนเองโดยเชื่อมต่อใบรับรองทั้งหมดจากใบรับรองกับใบรับรองรูทที่เชื่อถือได้ (พิเศษตามลำดับนี้) เพื่อป้องกันปัญหาดังกล่าว หมายเหตุใบรับรองรูทที่เชื่อถือได้ไม่ควรอยู่ที่นั่นเพราะรวมอยู่ในที่เก็บใบรับรองรูทของระบบแล้ว

คุณควรจะสามารถดึงใบรับรองระดับกลางจากผู้ออกใบรับรองและต่อกันด้วยตัวคุณเอง ฉันได้เขียนสคริปต์เพื่อทำให้กระบวนการทำงานเป็นแบบอัตโนมัติมันวนซ้ำส่วนขยาย AIA เพื่อสร้างผลลัพธ์ของใบรับรองที่ถูกผูกมัดอย่างถูกต้อง https://github.com/zakjan/cert-chain-resolver

zakjan
แหล่งที่มา
คำตอบที่ยอดเยี่ยมนี่คือสิ่งเดียวที่ช่วยฉัน ฉันให้สคริปต์ใบรับรองของฉัน (เพียงใบรับรองเดียวของฉันไม่ใช่มัด) และมันสร้างกองซ้อนเต็มของ certs ที่จำเป็นสำหรับเว็บเซิร์ฟเวอร์
เฉพาะ
มีบริการทางเว็บสำหรับสิ่งนี้เช่นกัน: certificatechain.io
rcoup
github.com/spatie/ssl-certificate-chain-resolver - แพ็คเกจ php หากคุณไม่มีGo
shukshin.ivan
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.