Эта цепочка сертификата SSL повреждается и как зафиксировать ее?
Для сертификата SSL на домене example.com некоторые тесты говорят мне, что цепочка является неполной и так как Firefox сохраняет свое собственное хранилище сертификатов, это могло бы перестать работать на Mozilla (1, 2, 3). Другие говорят мне, что это прекрасно, как делает Firefox 36, который говорит мне, что цепочка сертификата прекрасна.
ОБНОВЛЕНИЕ: Я протестировал на Opera, Safari, Chrome и IE и на Windows XP и на MacOS X Snow Leopard, они все хорошо работают. Это только перестало работать на Firefox <36 на обоих Ose. У меня нет доступа для тестирования на Linux, но для этого веб-сайта это - меньше чем 1% посетителей, и большинство - вероятно, боты. Так, это отвечает на исходные вопросы "эта установка, поднимает предупреждения в Mozilla Firefox или не", и "Эта цепочка сертификата SSL повреждается или нет?".
Поэтому вопрос состоит в том, как я узнаю, какие сертификаты я должен поместить в ssl.ca файл, таким образом, они могут быть поданы Apache для хранения Firefox <36 от дросселирования?
PS: Как примечание стороны, Firefox 36 я раньше тестировал сертификат, была совершенно новая установка. Нет никакого шанса, это не жаловалось, потому что это загрузило промежуточный сертификат во время предыдущего посещения сайта, который использует ту же цепочку.
Я связался с Comodo и скачал с него файл bundle.crt. Я переименовал его в ssl.ca, в соответствии с настройками этого сервера, и теперь cert проходит все тесты. Заметка Chain issues = Содержит якорь не является проблемой (см. ниже).
SSL Labs,, широко признанный наиболее полным тестом, теперь показывает Chain issues = Содержит якорь, тогда как раньше он показывал Chain issues = Нет (в то время как другие показывали проблему с цепочкой). Это действительно не проблема (1, 2), кроме дополнительных 1 кБ, которые сервер посылает клиенту.
Мой вывод
Игнорируйте тест SSL Labs, где сказано
Chain issues = Contains anchorИЛИ удалите корневой сертификат из файла пакета (смотрите этот комментарий ниже).Всегда выполняйте вторичный тест как минимум на одном из трех других тестовых сайтов (1, 2, 3), чтобы убедиться, что ваша цепочка действительно в порядке, когда в SSL Labs сказано
Chain issues = None.
Если цепочка достаточна, то она зависит от CA-магазина клиента. Похоже, что Firefox и Google Chrome включили сертификат "COMODO RSA Certification Authority" в конце 2014 года. Для Internet Explorer это, вероятно, зависит от базовой операционной системы. ЦС может еще не быть включен в трастовые хранилища, используемые небраузерами, т.е. ползунками, мобильными приложениями и т.д.
В любом случае, цепочка не полностью корректна, как видно из отчета SSLLabs:
- Один трастовый путь требует, чтобы новый ЦС был доверен браузером. В этом случае вы все равно отправите новый CA, который неверен, потому что доверенные CA должны быть встроены и не содержаться в цепочке.
- Другой путь доверия неполный, т.е. ему нужна дополнительная загрузка. Некоторые браузеры, такие как Google Chrome, делают эту загрузку, в то время как другие браузеры и небраузеры ожидают, что все необходимые сертификаты будут содержаться внутри поставляемой цепочки. Таким образом, большинство браузеров и приложений, которые не имеют встроенного нового ЦС, не справятся с этим сайтом.