ほとんどの人が安全な接続を取得しているのに、サーバーにアクセスするときに接続が安全でないページを取得する人がいるのはなぜですか?
メディア(画像)だけを含むサーバーがあります。メディアサーバーには、GoDaddyから購入したSSL証明書があります。
私が行くなら
https://media.mydomain.com/media/SiteImages2/KHeadshot.jpg
記載されているJPG画像のみを含むページが開きます。 MacのChrome、Firefox、Safariに「安全な」ロックが表示されます。
私たちのチームの他のほとんどのメンバーも同じことを見ています。
ただし、一部のチームメンバーは代わりに警告ページを受け取ります。警告はブラウザによって異なりますが、Firefoxの場合、「接続が安全ではありません。media.mydomain.comの所有者がWebサイトを不適切に構成しています。情報の盗難を防ぐため、FirefoxはこのWebサイトに接続していません。 。」
この問題を抱えている少数のユーザーのほとんどは、Firefoxでこの種のメッセージしか表示しません。また、ChromeとSafariで表示されます。ほとんどの場合、私のように、すべてのブラウザで緑色の「安全な」ロックを使用して安全な接続を取得します。
GoDaddyのサポートに相談したところ、提供したすべてのURLで辛抱強くテストを試みたところ、毎回安全な接続を確立でき、サイトは正常でSSL証明書も正常であるとのことでした。
彼らの提案は、周りのグーグルに、私が答えを見つけることができるかどうか見ることでした。だから私はここに来ました。
自分で問題を再現することはできませんが、これまでのチームテストの結果は以下のとおりです。私は彼らに彼らのブラウザのキャッシュをクリアさせました。
- Windowsユーザー:Chrome and Edge ok、Firefox not
- Macユーザー:Chrome、Firefox、Safariはすべて問題ありません
- Macユーザー:ChromeおよびFirefoxok
- Macユーザー:Chrome、Firefox、SariはすべてOK
- Macユーザー:Chrome and Safari ok、Firefox not
- Windowsユーザー:Edge ok
- Macユーザー:FirefoxおよびOpera ok
- Macユーザー:Firefox、Chrome、Safariはすべて問題あります
一部のブラウザの一部のユーザーの原因について何か提案はありますか?
サーバーはエンドエンティティ(サーバー)証明書のみを送信しているようです。ランニング:
openssl s_client -connect media.edweb.net:443
サーバー証明書のみを返します。
ただし、その証明書はStarfield Secure Certificate Authority-G2によって署名されており、その証明書もサーバーから送信する必要があります。サーバー管理者に相談して、 RFC 5246セクション7.4.2 の方向に向ける必要があります。間違いを理解したら、サーバーとCA証明書の両方を送信するようにWebサーバーを再構成する必要があります。
あなたのサイトは2つの理由でいくつかのクライアントのために働きます:
- 証明書には、欠落しているCA証明書のURLを含むAuthority Information Access(AIA)拡張機能があります。一部のクライアント(特にMicrosoftおよびChrome forWindows-Apple world)で何が行われるかわからない)は、そのURLを使用して不足している証明書をフェッチします。その他(特にFirefox)証明書チェーンの構築に失敗するため、エラーが表示されます。
- クライアントは、以前にアクセスした証明書をキャッシュします。一部のユーザーは、正しく構成されたサイトを定期的に参照しているときに、この欠落しているCA証明書に遭遇する可能性があります。したがって、証明書はキャッシュされ、サイトにアクセスする際のチェーン構築プロセスで使用できます。一方、キャッシュしていないブラウザではエラーが表示されます。
したがって、AIAを使用せず、証明書がキャッシュされていないブラウザーを使用するユーザーは失敗します。
AIA拡張機能を使用するブラウザを使用しているユーザー、またはCA証明書がキャッシュされているユーザーは、エラーを表示しません。