Промежуточная цепочка сертификата Thawte SSL123 SHA-2, поврежденная?
Я попытался обновить свой один веб-сайт, работая nginx, от сертификата SHA-1 SSL123 до SHA-2 один.
Веб-страница Thawte с промежуточной АВАРИЕЙ имеет таблицы "RSA SHA 2 (under SHA 1 Root)" и "RSA SHA 2 (under SHA 2 Root)".
Если я использую пакет CA для "под Корнем SHA-1", я вижу, что пакет содержит два сертификата и мои работы веб-сайта. Однако Тест SSL Qualys законно звенит меня для того, чтобы иметь сертификат SHA-2 с SHA-1 в цепочке сертификата.
Однако "под Корневой таблицей" SHA-2 не имеет пакетов. Если я использую единственный промежуточный сертификат, они предоставляют там, Firefox и другие инструменты указывают, что цепочка сертификата повреждается, и браузеры не загрузят мой сайт.
Прямо сейчас я использую корень SHA-1, чтобы иметь рабочий сайт. Однако я хотел бы переключиться на корень SHA-2.
Где я получаю недостающий промежуточный сертификат? Или, если это не проблема, как я создаю объединенный файл сертификата для SSL123 fro Thawte сертификат SHA-2 с полной цепочкой промежуточных сертификатов SHA-2?
Спасибо!
Получается, что сайт Thawte просто сбивает с толку людей, которые не очень часто работают с SSL-сертификатами
Несмотря на то, что под SHA-1 Root SSL123 SHA2 показаны два сертификата, нужен только первый. Второй сертификат является корнем SHA-1, и вам не нужно его связывать с сертификатом вашего сайта для установки на nginx. Просто используйте первый сертификат, и все готово.
Ваш собственный сертификат подписан ровно одним сертификатом.
Это означает, что ваш сертификат находится в одном конце ровно одной из этих цепочек Thawte, вам понадобится другой сертификат, чтобы быть в другой цепочке (один подписан промежуточным сертификатом из этой цепочки).
Что касается подписи корневого сертификата , являющегося SHA-1, SHA-2 или чем-то еще, то она мало что значит по сравнению с другими сертификатами в цепочке, так как валидирующая сторона уже имеет корневые сертификаты, которым они доверяют, им не нужна подпись, чтобы проверять корни. (Смотрите, например, SHA1 Deprecation: What You Need to Know .)
Рассматривая сертификаты в цепочке Thawte SSL123 SHA-2 (в разделе SHA1-Root), получается, что один из промежуточных сертификатов ("Primary Intermediate CA") также является SHA-1 (а не только корневым). Почти наверняка именно для этого сертификата вы получаете "динь". Чтобы решить эту проблему, вам нужно заставить Thawte выдать вам новый сертификат, подписанный промежуточным сертификатом из другой цепочки
.