web-dev-qa-db-ja.com

このSSL証明書チェーンは壊れていますか、またどのように修正しますか?

ドメインexample.comのSSL証明書の場合、一部のテストではチェーンが不完全であり、Firefoxが独自の証明書ストアを保持しているため、Mozilla( 123 )。 Firefox 36がそうであるように、他の人はそれが素晴らしい であると私に教えてくれます。

更新:Opera、Safari、ChromeおよびIE両方のWindows XPおよびMacOS X Snow Leopardでテストしました。すべて正常に動作します。両方のOSのFirefox <36でのみ失敗します。Linuxでテストするためのアクセス権はありませんが、このWebサイトでは、訪問者の1%未満であり、ほとんどがボットです。したがって、これは元の質問に答えます「このセットアップではMozilla Firefoxで警告が表示されるかどうか」および「このSSL証明書チェーンは壊れているかどうか」.

したがって、質問はFirefox <36が窒息しないようにApacheで提供できるように、ssl.caファイルに配置する必要のある証明書をどのように見つけるかです

PS:補足として、証明書のテストに使用したFirefox 36はまったく新しいインストールでした。同じチェーンを使用するサイトに前回アクセスしたときに中間証明書を ダウンロードしたため、文句を言わなかった可能性はありません .

sslssl-certificatehttpscertificatecertificate-authority
13
Gaia

Comodoに連絡してbundle.crtファイルをダウンロードしました。このサーバーの設定に従って、名前をssl.caに変更しました。証明書はすべてのテストに合格しました。 _Chain issues = Contains anchor_の通知は問題ではありません(以下を参照)。

SSL Labs、 は最も完全なテストと広く見なされており、_Chain issues = Contains anchor_が表示されるようになりましたが、以前は_Chain issues = None_が表示されていました(他のチェーンには問題がありました)。これは実際には問題ではありません( 12 )。ただし、サーバーがクライアントに送信する1kBは余分です。

私の結論

  1. 無視します SSL Labs テストで__Chain issues = Contains anchor_ ORバンドルファイルからルート証明書を削除します(以下のこのコメントを参照))。

  2. 他の3つのテストサイト( 12 、)の少なくとも1つで常にセカンダリテストを実行して、チェーンが本当に問題ないことを確認します SSL Labs は_Chain issues = None_と言います。

8
Gaia

チェーンが十分かどうかは、クライアントのCAストアによって異なります。 FirefoxとGoogleのように見えますChromeには、2014年末に「COMODO RSA Certification Authority」の証明書が含まれています。InternetExplorerの場合、おそらく基盤となるOSに依存します。CAはまだ含まれていない可能性があります非クローラー、つまりクローラー、モバイルアプリケーションなどが使用するトラストストア.

SSLLabsレポート からわかるように、チェーンは完全に正しくありません。

  • 1つの信頼パスでは、新しいCAがブラウザーによって信頼されている必要があります。この場合、信頼されたCAは組み込みでチェーンに含まれていないため、間違った新しいCAを出荷します。
  • 他の信頼パスは不完全です。つまり、追加のダウンロードが必要です。 Googleのような一部のブラウザーChrome=このダウンロードを実行しますが、他のブラウザーおよび非ブラウザーは、必要なすべての証明書が出荷されたチェーン内に含まれることを期待します。したがって、新しいCAが構築されていないほとんどのブラウザーおよびアプリケーション-inはこのサイトで失敗します。
8
Steffen Ullrich