Некоторые пользователи получают недоверяемые предупреждения сертификата SSL
Запись CNAME является просто указателем на другую запись. Таким образом, Вы устанавливаете свою собственную запись, как hosted.example.com; затем скажите Вашим клиентам указывать на свой CNAME на него. Скажите им не использовать записи, потому что это повредится в конечном счете.
Кроме того, когда Ваш изменяющийся дюйм/с, знайте, что может требоваться много времени для DNS для обновления правильно. Необходимо запланировать по крайней мере 1 целую неделю; хотя более консервативное число составило бы 1 месяц.
Эта проблема связана с добавлением всей цепочки сертификатов -- мне нужно было сконцентрировать файл gd_bundle.crt в своем распределенном сертификате и перезагрузить его на сервер. Я смог убедиться, что он работает с помощью онлайн-проверки SSL.
Полагаю, вы уже знаете, как работает SSL / TLS: сертификаты SSL должны быть подписаны доверенным центром (CA), а доверенные органы внедрили свои открытые ключи (корневые сертификаты) в программное обеспечение браузера. Закрытые ключи доверенных органов стали весьма ценными, и их потеря будет максимально вероятной случайностью. Поэтому доверенные органы (ЦС) заблокировали свои закрытые ключи и не используют их для подписи общих запросов на сертификаты своих клиентов. Для этой цели они используют субсертификаты и субсертификаты (мы называем их промежуточными сертификатами).
Ваш браузер может видеть эту цепочку доверия (ваш сертификат -> промежуточный сертификат № 2 ЦС -> промежуточный сертификат № 1 ЦС -> корневой сертификат ЦС) и следуйте ему.
На самом деле большинство сертификатов предоставляют более одной цепочки доверия. Это запасной вариант на тот случай, если в браузерах не реализован правильный корневой сертификат.
Чтобы позволить большинству браузеров следовать вашей цепочке доверия, вы должны объединить сертификат сервера и все необходимые промежуточные сертификаты в один большой текстовый файл. Перезагрузите сервер и проверьте с помощью OpenSSL, работают ли цепочки доверия вашего сертификата.
Если вы не знакомы с OpenSSL, вы можете использовать сайт Qualys SSL Labs . Здесь вы можете увидеть, работают ли все предоставленные цепочки доверия, а также другую полезную информацию о настройке SSL / TLS.
Чтобы позволить большинству браузеров следовать вашей цепочке доверия, вы должны объединить сертификат сервера и все необходимые промежуточные сертификаты в один большой текстовый файл. Перезагрузите сервер и проверьте с помощью OpenSSL, работают ли цепочки доверия вашего сертификата.
Если вы не знакомы с OpenSSL, вы можете использовать сайт Qualys SSL Labs . Здесь вы можете увидеть, все ли предоставленные цепочки доверия работают, а также другую полезную информацию о настройке SSL / TLS.
Чтобы позволить большинству браузеров следовать вашей цепочке доверия, вы должны объединить сертификат сервера и все необходимые промежуточные сертификаты в один большой текстовый файл. Перезагрузите сервер и проверьте с помощью OpenSSL, работают ли цепочки доверия вашего сертификата.
Если вы не знакомы с OpenSSL, вы можете использовать сайт Qualys SSL Labs . Здесь вы можете увидеть, работают ли все предоставленные цепочки доверия, а также другую полезную информацию о настройке SSL / TLS.
Вы можете добавить файл PEM, содержащий цепочку доверия GoDaddy, в директиву SSLCertificateChainFile в конфигурации вашего виртуального хоста.