Мы недавно возобновили наш сертификат SSL Thawte веб-сервера Nginx. Ранее мы использовали SHA1 в качестве алгоритма подписания, но на этот раз использовали SHA256, который приводит к новому корневому сертификату, известному как "thawte Основной Корень CA - G3" (это может быть найдено на их веб-сайте - недостаточно представителя для регистрации ссылки).
Начиная с развертывания мы начали добираться, вызовы от клиентов, использующих OS X о получении ошибки ", Этот сертификат был подписан неизвестными полномочиями" при просмотре к https странице.
Средство проверки сертификата Thawte совершенно довольно нашей установленной цепочкой сертификата: https://ssltools.thawte.com/checker/views/certCheck.jsp (у нас есть наш сертификат, плюс "thawte Расширенная проверка SHA256 SSL CA" промежуточное звено в pem файле),
После тестирования мы нашли, что ошибки происходят под Safari, Opera и Chrome на OS X OS все версии. Firefox хорошо находился под OS X (я полагаю, что он поставлется со своей собственной базой доверенных сертификатов сертификата). Все браузеры кажутся OK в соответствии с Windows.
Когда мы проверили Связку ключей Доступа OS X, мы нашли thawte Основной Корень CA - G3 был установлен, но так или иначе браузеру не удавалось завершить цепочку.
Вот является испытательная площадка (не наш) использованием того же промежуточного звена и корня, который показывает точно те же признаки под OS X:
Кто-либо может объяснить, почему OS X не распознает корневой CA для этого сайта, как доверяемого, когда он установлен в Связке ключей Доступа OS X 10.9 по умолчанию?
Только что поговорили со службой поддержки Thawte в чате, и они подтвердили, что это проблема и открытый случай с Apple (с 31 июля 2014 г.) по этой проблеме. На данный момент нет ответа / ETA для исправления.
17 сентября 2014 г. основной корневой центр сертификации - G3 (промежуточный с подписью SHA-256) все еще не принимался последними операционными системами Mac.
Thawte представил номер ошибки Apple. 17095623, чтобы они исправили эту проблему.