Новый сертификат обслуживается, только если домен является доверенным
Срок действия сертификата SSL для одного из наших сайтов истек, и мне поручили обновить его, несмотря на то, что я не являюсь администратором сервера. Я заполнил запрос сертификата и добавил его к сертификатам сервера. Затем я назначил этот новый сертификат привязкам https для рассматриваемого сайта.
Когда я просматриваю сертификат, он показывает истечение 2020 года от поставщика Entrust с хешем sha256 и отпечатком sha1.
Если я нахожусь в сети нашей компании и посещаю сайт, я вижу, что новый сертификат обслуживается правильно. Однако любой пользователь за пределами этой сети, в том числе если я отключусь, получит ошибку «Сертификат не доверяет». При проверке сертификата, который сейчас обслуживается, он показывает старый сертификат с истекшим сроком действия хэша SHA1.
Я ' Мы проверили certlog с помощью DigiCertUtil и убедились, что нет хэшей SSL, соответствующих существующим действующим сертификатам. Также с этим сайтом не связаны никакие другие привязки HTTPS. Что мне здесь не хватает?
Если я нахожусь в сети нашей компании и посещаю сайт, то вижу, что новый сертификат обслуживается правильно. Однако, любой пользователь вне этой сети,
Если вы видите действительный сертификат при прямом подключении, но не можете при внешнем подключении, это, вероятно, означает, что между вами и сервером есть некий прокси-сервер. Возможно, это компенсатор нагрузки или какое-то устройство безопасности. Когда вы подключаетесь извне, внимательно посмотрите на адрес назначения, к которому разрешается имя вашего сайта. Найдите систему с таким адресом и исправьте его. Или найдите человека, ответственного за эту систему.
Basically you shouldn't have enable the old sha1 thumbprint more. Современные браузеры больше не используют этот метод шифрования, так как это небезопасно. Его следует тестировать на разных браузерах и системах вашей компании.
Во-вторых, некоторые провайдеры CA могут быть запрещены в связи с предполагаемыми попытками атаки MITM (Man In The Middle attack - атака на человека посередине). Насколько я знаю, StartSSL.com уже запрещен Mozilla Foundation, и все последние браузеры Mozilla Firefox больше не доверяют своему CA, но StartSSL все еще предоставляет CA.
В-третьих, проверьте цепь CA. Цепочка CA обычно имеет 3 уровня более или менее. Если один из уровней цепочки не является доверенным провайдером, CA не будет доверять клиенту.