Was ist falsch an meiner SSL-Vertrauenskette?

10

Das SSL-Zertifikat für meine Website https://www.snipsalonsoftware.com/ funktioniert unter Android nicht. Bei der Behebung dieses Problems habe ich meine Site an das Qualys SSL Labs-Testtool angeschlossen:

https://www.ssllabs.com/ssltest/analyze.html?d=www.snipsalonsoftware.com&s=50.57.181.104

Dieser Bericht scheint mir zu sagen, dass ich "Kettenprobleme" habe. Etwas ist "unvollständig". Aber ich habe Probleme, genau zu verstehen, was unvollständig ist.

Im nächsten Abschnitt sehe ich unter "Zertifizierungspfade" in Orange (und ich vermute, Orange bedeutet "irgendwie schlecht") "Zusätzlicher Download". Ich habe keine Ahnung, was dies bedeutet oder wie ich es beheben kann. Ich habe diesen Thread gefunden , kann aber nicht sagen, wie ich das, was sie sagen, in eine Lösung für mich übersetzen soll.

Was soll ich machen?

ssl 
Jason Swett
quelle

Antworten:

5

Sie haben Ihren Server so konfiguriert, dass das Zertifikat nur an Browser gesendet wird. Für die meisten Desktop-Browser ist dies in Ordnung, da sie bereits viele Details zu Zwischen- und Stammzertifizierungsstellen enthalten, sodass sie die Vertrauenskette problemlos aufbauen können. Für die meisten mobilen Browser müssen Sie im Allgemeinen die gesamte Zertifikatkette bereitstellen, dh Ihr eigenes Zertifikat, das der ausstellenden Zertifizierungsstelle und alle Zwischenprodukte, die möglicherweise zwischen dieser und der endgültigen Stammzertifizierungsstelle bestehen. Das mobile Gerät verfügt wahrscheinlich nur in diesem Szenario über die Details der Stammzertifizierungsstelle.

Für Ihr spezifisches Zertifikat können Sie diesen Comodo-Helpdesk-Artikel lesen: Wissensdatenbank: Comodo-Zertifizierungsstelle> Zertifikate> SSL> Zertifikatinstallation

ThatGraemeGuy
quelle
1
Vielen Dank. Es stellte sich heraus, dass diese Seite zur Antwort führte, der Teil, der besagt: "SSLCertificateChainFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle ***"
Jason Swett
4

Ein Zertifikat kann eine spezielle Authority Information Access- Erweiterung ( RFC-3280 ) mit einer URL zum Zertifikat des Ausstellers enthalten. Die meisten Browser können die AIA-Erweiterung verwenden, um fehlende Zwischenzertifikate herunterzuladen und die Zertifikatkette zu vervollständigen. Einige Clients (mobile Browser, OpenSSL) unterstützen diese Erweiterung jedoch nicht. Daher melden sie ein solches Zertifikat als nicht vertrauenswürdig.

Sie können das Problem der unvollständigen Zertifikatskette manuell lösen, indem Sie alle Zertifikate aus dem Zertifikat mit dem vertrauenswürdigen Stammzertifikat (exklusiv in dieser Reihenfolge) verketten, um solche Probleme zu vermeiden. Beachten Sie, dass das vertrauenswürdige Stammzertifikat nicht vorhanden sein sollte, da es bereits im Stammzertifikatspeicher des Systems enthalten ist.

Sie sollten in der Lage sein, Zwischenzertifikate vom Aussteller abzurufen und selbst zusammenzustellen. Ich habe ein Skript geschrieben, um die Prozedur zu automatisieren. Es durchläuft die AIA-Erweiterung, um die Ausgabe korrekt verketteter Zertifikate zu erzeugen. https://github.com/zakjan/cert-chain-resolver

Zakjan
quelle
Tolle Antwort, das ist das einzige, was mir geholfen hat. Ich habe dem Skript mein Zertifikat gegeben (nur mein einzelnes Zertifikat, nicht das Bundle) und es hat den vollständigen Stapel von Zertifikaten erstellt, die für den Webserver erforderlich sind.
Nur keiner
Es gibt auch einen Webservice dafür: certificatechain.io
rcoup
github.com/spatie/ssl-certificate-chain-resolver - PHP-Paket für das, wenn Sie nicht habenGo
shukshin.ivan
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.