HTTPS検証に失敗しました-証明書情報を取得しますiPad / iPhone
今朝Googleを使って銀行のインターネットバンキングウェブサイトにログオンしましたChromeブラウザ。死の赤いエラーメッセージが表示されます。理由がわかりません。両方で発生しています。私のiPadとiPhone。
Safariで同じWebサイトにログオンすると、警告が表示されず、すべてが問題があります。 Google chromeは同じことをしません。ウェブサイトも問題ないと考えています。
証明書情報を取得する方法、または検証に失敗した理由を理解するにはどうすればよいですか?
エラーの理由は、中間証明書がWebサーバーによってチェーンに提供されていないためです。基本的に、SSL証明書は「VeriSign Class 3 Extended Validation SSL SGC CA」によって署名されましたが、それは中間CAです(「VeriSign Class 3 Public Primary Certification Authority-G5」によって署名されました)。理想的には、 internetbanking.suncorpbank.com.a は証明書をチェーン化し、中間証明書も返します。たとえば、Firefoxでサイトにアクセスすると、次のようになります。
他のブラウザーは中間証明書を検索しているので、文句を言っていません。
このウェブサイト の分析と チェーンの問題:不完全 の説明について。 google ios chromeヘルプでこの問題を指摘した箇所 もご覧ください。
一部のブラウザーでのみ発生し、他のブラウザーでは発生しない理由は、これらの中間CAがルートCAと比較して常に変化しているためです。これは、ブラウザー(およびopensslなどのソフトウェア)が信頼できるCAを常に更新する必要があることを意味します。中間CAが信頼されたCAである場合、接続先のサーバーは、既に信頼されている中間CAを提供する必要はありません。
これは、DigiNotarとComodoの違反によって証明されています。これらのCAは、ほとんどのブラウザーで信頼されたCAであったため、クライアントがこれらのCAのいずれかによって署名された証明書を受け取ったとき、CAの証明書がルートCAによって署名されていることを確認しませんでした。したがって、この違反した中間CAの証明書を発行したルートCAが署名の検証を拒否し始めたとしても、ブラウザーが中間CAの証明書が有効かどうかをルートCAに問い合わせなかったため、信頼できるSSL接続であるように見えます。これは、とりわけモジラ、グーグル、マイクロソフトは、セキュリティ侵害されたCAを信頼できるCAから削除するために、ブラウザにセキュリティアップデートを発行する必要があったことを意味します。
したがって、あるブラウザーが証明書を受け入れているが別のブラウザーは受け入れていないことがわかった場合、拒否するクライアントが受け入れているクライアントよりも最新である可能性があるため、拒否されたブラウザーを単純に受け入れないようにします。この時点で、拒否するソフトウェアを最新バージョンにアップグレードして、問題が解決するかどうかを確認します(または、承認するバージョンをアップグレードして、証明書を拒否するかどうかを確認します)。それでも問題が解決しない場合は、連絡先の会社に連絡して問題を知らせてください。 1つのブラウザーが証明書を受け入れるが、別のブラウザーが受け入れないという理由だけで、証明書を盲目的に信頼しないでください。