Firefox, не получающий полную цепочку сертификата
Сервер: Windows 2012 R2 / IIS 8.5 с помощью SNI (Azure Виртуальная машина)
У меня есть сертификат SSL, который был установлен и работает во всех браузерах кроме Firefox и iOS Safari. Цепочка в Chrome и IE появляется следующим образом:
Baltimore CyberTrust Root
---->XX Public Root Certification Authority
-------->XX Certification Authority
----------->xxx.domain.com
В Firefox и Safari на iOS, Вы получаете сообщение, в котором говорится, что сайт недоверяем и если Вы просматриваете сертификат через, Добавляет Исключение, цепочка появляется следующим образом:
XX Certification Authority
----->xxx.domain.com
XX Центров сертификации подписали сертификат xx.domain.com. Общедоступный Корневой Центр сертификации подписал XX Центров сертификации, и CyberTrust подписал Общедоступную Корневую Сертификацию.
Промежуточные сертификаты находятся в Промежуточном хранилище Центров сертификации на сервере. По некоторым причинам Firefox не загрузит полную цепочку сертификата (или сервер не отправляет его). Я попытался удалить cert8.db в профиле Firefox, и у меня был он, последовательно происходят на чистых машинах.
Я протестировал свой домен по sslshopper.com и ssllabs.com. Они не сообщают ни о каких ошибках и сообщают, что все промежуточные сертификаты установлены правильно.
После долгих проб и ошибок я наконец смог это исправить. Я не знаю точно, что это исправило, но я продолжал загружать несколько промежуточных сертификатов из моего центра сертификации.Хотя я загрузил промежуточные сертификаты, соответствующие цепочке сертификатов по имени, похоже, что по серийному номеру они не совпадают. Наконец я нашел комбинацию, которая понравилась Firefox и iOS Safari. Тем не менее, SSL Labs так и не показала дополнительную загрузку.
Они не сообщают об ошибках и не сообщают, что все промежуточные сертификаты установлены правильно.
Описанные вами симптомы сильно противоречат этому утверждению. Chrome (и IE?) Самостоятельно загружает недостающие промежуточные сертификаты, в то время как Firefox и большинство мобильных приложений этого не делают. SSLLabs не будет отмечать эти промежуточные сертификаты как отсутствующие, но они помечаются как «Дополнительная загрузка».
Если это действительно не так, проверьте, включены ли на вашем сервере IPv4 и IPv6, и не отличаются ли настройки IPv6. SSLLabs не проверяет настройку IPv6. Если IPv6 будет использоваться, это зависит от ОС, возможностей подключения и предпочтений браузера, поэтому это также может объяснить такие различия. Другими отличиями в этой области являются разные IP-адреса сервера в зависимости от местоположения или различных тестов, то есть иногда www.example.com и иногда только example.com .