web-dev-qa-db-ja.com

SSL / TLS:「チェーンの問題:アンカーを含む」を修正する方法

私はssllabs.comで簡単なテストを実行しました:A +を取得しました。

しかし、「修正」する方法がわからないことが1つあります。私のサイトはOCSPステープリングをサポートしており、ssllabsが繰り返し通知しています:チェーンの問題:アンカーが含まれています。接続が少し遅くなるという意味で、これは単なる「警告」です。

nginx設定:

..
ssl_certificate             public.crt;
ssl_certificate_key         private.key;
ssl_stapling                on;
ssl_stapling_verify         on;
ssl_trusted_certificate     my-chain.pem;
..

どこ:
-public.crtは、StartSSLから取得した公開証明書です
-private.key証明書の秘密鍵
-my-chain.pem(ssllabsはこれを「追加の証明書(提供されている場合)」と呼びます)は以下で構成されます:

1.) StartCom Class 1 Primary Intermediate Server CA  
2.) StartCom Certification Authority

StartCom(StartSSL)証明書も使用し、OCSPステープルをサポートしているサイトを見つけましたが、上記の問題はありません。

このサイトの「追加の証明書」:

1.) StartCom Class 1 Primary Intermediate Server CA

私も同じことを試しました。「StartCom Class 1 Primary Intermediate Server CA」のみをmy-chain.pemに配置します。
しかし、ssllabsは次のように述べています:OCSPステープリング:いいえしたがって、これはOCSPステープリングを完全に壊すようです。

何か案が?

編集:

いよいよ修正!

ssl_certificate = Site certificate + StartCom Class 1 Primary Intermediate Server CA  
ssl_trusted_certificate = StartCom Class 1 Primary Intermediate Server CA + StartCom Certification Authority
18
Ben Richard

nginxドキュメント によるとssl_trusted_certificateパラメータには、ssl_staplingが有効な場合にクライアント証明書とOCSP応答を検証するために使用される信頼できるCA証明書が含まれていますおよびのリストこれらの証明書はクライアントに送信されません

したがって、ssllabsが「追加の証明書(提供されている場合)」と呼ぶのは、ssl_certificateファイルはサーバー証明書ではありません。

私のために:

public.crtには、次の2つの証明書が含まれている必要があります。

1) your server certificate
2) StartCom Class 1 Primary Intermediate Server CA 

my-chain.pemには、次の2つの証明書が含まれている必要があります。

1) StartCom Class 1 Primary Intermediate Server CA // required to validate the server certificate OCSP response 
2) StartCom Certification Authority  // required to validate the intermediate CA certificate OCSP response 
10
Jcs

現在、ssl_certificateによって参照されるサイトの証明書と、ssl_trusted_certificateによって参照される中間証明書とCA証明書の両方を含むファイルがあります。

代わりに、あなたがすべきことは、ssl_certificateによって参照されるサイトの証明書と中間証明書の両方と、ssl_trusted_certificateによって参照されるCA証明書のみを含むファイルを用意することです。

つまり:

public.crt 含む必要があります:

1) your site's cert, issued by StartCom
2) StartCom Class 1 Primary Intermediate Server CA 

そして my-chain.pem 含む必要があります:

1) StartCom Certification Authority

はい、これはApacheが物事を行う方法の反対です。しかしnginx!= Apache。

2
Joe Sniderman