13 votos

Es esta cadena de certificados SSL roto y cómo solucionarlo?

Para el certificado SSL en el dominio example.com, algunas pruebas me dicen que la cadena es incompleta y desde Firefox mantiene su propio almacén de certificados, se puede producir un error en Mozilla (1, 2, 3). Otros me dicen que está bien, como lo hace Firefox 36, que me dice que el certificado de la cadena está bien.

ACTUALIZACIÓN: he probado en Opera, Safari, Chrome e internet explorer en Windows XP y MacOS X Snow Leopard, todas funcionan bien. Sólo se produce un error en Firefox < 36 en ambos sistemas operativos. Yo no tengo acceso a la prueba en Linux, pero para este sitio web está a menos de 1% de los visitantes, y la mayoría son probablemente los bots. Así, este responde a la pregunta original "¿ esta configuración llevar advertencias en Mozilla Firefox o no" y "Es esta cadena de certificados SSL roto o no?".

Por lo tanto, la pregunta es ¿cómo puedo saber que los certs ¿debo colocar en el ssl.archivo de ca para que puedan ser atendidos por Apache para mantener Firefox < 36 de la asfixia?

PD: Como nota al margen, el Firefox 36 he utilizado para probar el cert fue una nueva marca de instalar. No hay ninguna posibilidad de que no se quejan porque se había descargado un intermedio cert durante una visita anterior a un sitio que utiliza la misma cadena.

8voto

Steffen Ullrich Puntos2354

Si la cadena es suficiente, depende de la tienda de CA del cliente. Parece que Firefox y Google Chrome han incluido el certificado de "COMODO RSA Autoridad de Certificación" de finales de 2014. Para Internet Explorer probablemente depende del sistema operativo subyacente. La CA puede no ser incluido en la confianza, en las tiendas utilizadas por los navegadores, es decir, a las orugas, aplicaciones móviles, etc.

En cualquier caso, la cadena no es totalmente correcta, como puede verse en la SSLLabs informe:

  • Una ruta de confianza de las necesidades que la nueva CA es de confianza por el navegador. En este caso, usted todavía barco de la nueva CA que está mal, porque ca de confianza debe ser integrado y no contenidos en la cadena.
  • La otra ruta de confianza es incompleta, es decir, se necesita una descarga extra. Algunos navegadores como Google Chrome hacer esta descarga, mientras que otros navegadores y no de los navegadores de esperar que todos los certificados necesarios para ser incluida dentro de los enviados de la cadena. Así, la mayoría de los navegadores y las aplicaciones que no tienen la nueva CA construido se producirá un error con este sitio.

7voto

Gaia Puntos534

Me puse en contacto Comodo y descargar un paquete.archivo crt de ellos. Yo le cambió el nombre a ssl.ca, como por este servidor de instalación, y ahora el cert pasa todas las pruebas. Chain issues = Contains anchor no es un problema (ver más abajo)

Vale la pena destacar: el considerado como el más completo de la prueba se muestra ahora Chain issues = Contains anchor, mientras que antes de que se usa para mostrar Chain issues = None (mientras que los otros mostraron un problema con la cadena). Esto es realmente un no-problema (1,2), aparte de la 1kb extra que tiene que enviar al cliente.

Mi conclusión

1) Ignorar SSLlabs prueba cuando dice Chain issues = Contains anchor O quitar el root cert desde el archivo de paquete (ver este comentario Es esta cadena de certificados SSL roto y cómo solucionarlo?)

2) Siempre se ejecuta una prueba secundaria en al menos uno de los otros tres sitios de prueba (1, 2, 3) para asegurarse de que su cadena es muy bueno cuando SSLlabs dice Chain issues = None.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: