Comodo SSL-Zertifikat wird auf Android-Geräten als ungültig angezeigt

7

Ich betreibe eine Website, auf der ich über ein vollständiges Panel und eingeschränkten Whm-Zugriff verfüge. Ich habe kürzlich eine meiner Domains auf SSL aktualisiert (eine erste Erfahrung für mich).

Die Zertifikate sind in cpanel installiert, und unser fröhliches kleines Vorhängeschloss wird jetzt angezeigt. Dies funktioniert perfekt auf Desktops (allen Browsern), iPhones und einigen anderen Handys. Eine Auswahl von Android- Geräten gibt jedoch an, dass das Serverzertifikat nicht vertrauenswürdig ist.

Ich habe Tests durchgeführt an:

Comodos eigener Prüfer gibt "Nein (selbstsigniertes Zertifikat in der Zertifikatskette)" an.

Geocerts gibt an: " Ein gültiges Zertifikat der Stammzertifizierungsstelle konnte nicht gefunden werden. Das Zertifikat zeigt wahrscheinlich Browser-Warnungen an. "

SSLChecker sagt, dass die Kette in Ordnung ist.

Symantec sagt, dass die Kette in Ordnung ist.

Ich habe im ganzen Internet gesucht. Eine Nicht-Apache-Quelle sagt etwas über das Zusammenführen aller CRT-Dateien in einer und die Installation auf Ihrem Server aus. Ich bin mir jedoch nicht sicher, ob dies auch für Apache-Server relevant ist.

Ich habe von COMODO:

AddTrustExternalCARoot.crt
COMODORSAAddTrustCA.crt
COMODORSAOrganizationValidationSecureServerCA.crt
mydomain.crt

Ich würde mich über jede Hilfe von Leuten freuen, die wissen, wovon sie über mich sprechen, die das erfinden, während ich weiter mache :(

https  cpanel  security-certificate 
Gimboid
quelle
Welche Versionen von Android sind das? Auch das Teilen der URL wird einen langen Weg gehen. Wenn Sie das SSL aus den 4 Dateien installieren, die Sie auf Ihrem Server verwendet haben, da Sie 2 verwenden sollten.
Simon Hayter
Mit Cpanel scheint nur das mydomain.co.uk-Zertifikat installiert worden zu sein. Ich habe alle möglichen Dinge online über Zertifikatsketten gelesen, Zertifikate konkantoniert und in der richtigen Reihenfolge installiert :( Die Domain ist csnmotorcycletraining.co.uk
Gimboid

Antworten:

4

Das Problem hierbei ist einfach, dass das Zertifikat im Stammverzeichnis an COMODO RSA Certificate Autority und nicht an AddTrustExternalCARoot gekettet ist. Android-Geräte haben nicht die COMODO RSA-Zertifizierungsstelle in ihren Stammspeichern, sondern nur AddTrustExternalCARoot.

Wenn Sie IIS ausführen, sollten Sie die COMODORSACertificateAutority im Stammspeicher auf dem Webserver entfernen und im Zwischenspeicher platzieren. Bei Apache oder anderen sollten Sie die Kette in der Kettendatei korrekt einstellen.

Rofl
quelle
1
Hatte das gleiche Problem. Obwohl es beängstigend schien, die Zertifikate aus den anderen Geschäften zu löschen, war es für mich der Trick, nur das Comodo RSA-Zertifikat im Zwischengeschäft zu behalten. Tipp: Sichern Sie zuerst die anderen, um sicherzugehen.
Moriarty
Können Sie genauer angeben? Ich bin Anfänger und verstehe dich nicht. Ich habe ein Hosting mit cpanel und WordPress als CMS. Was sollte ich tun, um dieses Problem zu lösen?
Milor123
Phantastisch! Ihre Antwort und der Kommentar von @Moriarty haben mir endlich geholfen, es zum Laufen zu bringen!
likeitlikeit
0

Wenn Sie Ihre SSL-Zertifizierung auf Ihrer Website überprüfen, kann ich bestätigen, dass Sie die richtigen Dateien verwendet haben, die in der von Comodo bereitgestellten Zip-Datei enthalten sind.

Für andere Leser sind die Comodo SSL PositiveSSL / EssentialSSL, 2 Dateien, die von cPanel oder WHM benötigt werden:

  • example.crt (Hauptzertifikat)
  • COMODORSAOrganizationValidationSecureServerCA.crt (CABundle)
  • example.key (Schlüsseldatei, die beim Generieren von CSR bereitgestellt wurde)

Adressproblem, vielleicht ...

Obwohl dies kein Krippenproblem ist, hatte ich gedacht, ich würde Ihnen meine ersten Erkenntnisse mitteilen, die bei einigen großen Suchmaschinen, hauptsächlich Google, zu einem leichten Gewicht in lokalen Rankings führen können, schließlich schätze ich, seit Sie SSL verwenden, eines Ihrer Gründe dafür waren jedenfalls die SEO-Vorteile ...

[ wichtig, dass ssl übereinstimmt]

Wenn Sie es noch nicht wussten, verwendet Google einen lokalen SEO-Algorithmus, der sich von den normalen organischen Rankings unterscheidet. Einer der wichtigsten lokalen SEO - Faktor s ist NAP Konsistenz, und wenn Sie auf das Bild , siehe oben, dass die Adresse auf Google sehen, keine exakte Übereinstimmung gibt, während wir nicht sicher über das , dass Google Sorgen sagen kann , Adressabgleich im SSL tun wir jetzt, da die NAP-Konsistenz überall sonst wichtig ist, da dies in Ihrer Kontrolle liegt und eine einfache Lösung ist.

Ich empfehle Ihnen, Ihre Signaturanforderung neu zu erstellen. Folgen Sie meinem Blog-Artikel, wenn Sie eine Erinnerung benötigen, wie, Schritt 1 (da der Rest mit WHM zusammenhängt). Außerdem würde ich den UNIT-Namen als "Training" entfernen, da die UNIT nur verwendet wird, wenn die Organisation sehr groß ist, sofern dies nicht in der Adresse oder an einer anderen Stelle auf gov.uk registriert ist.

Wenn das SSL die richtigen Details enthält, Google jedoch nicht korrekt ist, empfehle ich Ihnen, dies zu korrigieren. Auch hier ist Konsistenz der Schlüssel. Stellen Sie sicher, dass alle Ihre Zitate genau übereinstimmen. Vermeiden Sie außerdem, die LTD im Firmennamen auf externen Websites zu verpassen , und vergessen Sie nicht, Ihre NAP-Konsistenz beim Registrar für Gesellschaften mit beschränkter Haftung unter gov.uk/business zu überprüfen, da dieses Zitat viel Gewicht hat. Im Idealfall sollte der NAP den vollständigen Namen des Unternehmens einschließlich der LTD im Namen sowie die auf Royal Mail registrierte Adresse und die Haupttelefonnummer vor Ort enthalten.

Wie auch immer, hier geht es um SSL, nicht um lokales SEO, also genug gesagt, lasst uns weitermachen ...

Hauptprobleme mit dem SSL-CERT

Derzeit gibt es einige wichtige serverseitige Probleme, die behoben werden müssen. Derzeit ist es sinnlos, SSL mit den ausnutzbaren Sicherheitslücken des Servers zu verwenden. Dies sind die folgenden Punkte:

  • Dieser Server unterstützt anonyme (unsichere) Suiten (Details siehe unten). Note auf F gesetzt.
  • Dieser Server unterstützt schwache Diffie-Hellman (DH) -Schlüsselaustauschparameter. Note auf B begrenzt.
  • Dieser Server akzeptiert die schwache RC4-Verschlüsselung. Note auf B begrenzt.
  • Der Server unterstützt Forward Secrecy mit den Referenzbrowsern nicht.

Diese können das Problem auf Android verursachen, aber wenn nicht, müssen sie behoben werden. Es ist ziemlich üblich, dass Webhosting-Unternehmen beim Patchen gegen SSL faul sind. Tatsächlich stoße ich regelmäßig wöchentlich darauf. Wenn Sie Probleme haben, einen neuen Host zu finden, ist dies nicht akzeptabel. Sicherheit ist eines der wichtigsten Merkmale eines Webs Wirt. Geben Sie sich nicht mit etwas anderem als einer Note A- oder A + von Qualys Labs SSL Checker zufrieden .

Wenn das Problem durch Beheben des oben genannten Problems nicht behoben werden kann, liegt dies wahrscheinlich am SSL-CERT selbst auf einem älteren Android-Telefon, da nicht alle SSL-CERTS gleich sind. Einige unterstützen mehr Telefone / Computer und andere Betriebssysteme. Im Allgemeinen ist die Kompatibilität umso besser, je teurer SSL ist. Ich habe noch nie ein Problem mit Android gehabt, selbst wenn ich billige SSLs verwendet habe.

Persönlich würde ich die genannten Probleme beheben, sie dann testen, aber sicherstellen, dass Sie sie auf mehr als einem Android-Gerät testen und wenn möglich die Android-Version herunterladen, da sich diese in Bezug auf die Browserunterstützung erheblich unterscheiden.

Simon Hayter
quelle
Hey Simon, danke für die Hilfe, ich hatte die Sicherheitsbedenken bereits entdeckt und an meinen Gastgeber weitergeleitet, der sie tatsächlich alle bereits eingesteckt hat!
Gimboid
@Gimboid tritt der Fehler immer noch auf, nachdem sie ihn gepatcht haben?
Simon Hayter
Gut und schlecht - Die Zertifikatskette ist jetzt gut, die Sicherheit wurde viel besser, aber sie haben auch versehentlich TLS 1.0 und 1.1 deaktiviert, sodass jetzt Leute auf älteren Android-Geräten unsere Website nicht besuchen können .....
Gimboid
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.