Ssl

此 SSL 證書鍊是否損壞以及如何修復?

  • December 1, 2017

對於域 example.com 上的 SSL 證書,一些測試告訴我該鍊是不完整的,並且由於 Firefox 保留自己的證書儲存,它可能會在 Mozilla ( 123 ) 上失敗。其他人告訴我這很好,Firefox 36 也一樣,它告訴我證書鏈很好。

更新:我在 Windows XP 和 MacOS X Snow Leopard 上的 Opera、Safari、Chrome 和 IE 上進行了測試,它們都執行良好。它只在兩個作業系統上的 Firefox < 36 上失敗。我無法在 Linux 上進行測試,但對於這個網站來說,它的訪問者不到 1%,而且大多數可能是機器人。因此,這回答了最初的問題“此設置是否在 Mozilla Firefox 中顯示警告”和“此 SSL 證書鍊是否損壞?”。

因此,問題是我如何找出我需要在 ssl.ca 文件中放置哪些證書,以便 Apache 可以為它們提供服務以防止 Firefox < 36 阻塞?

PS:附帶說明一下,我用來測試證書的 Firefox 36 是全新安裝的。它不可能不抱怨,因為它在之前訪問使用相同鏈的站點期間下載了中間證書

我聯繫了 Comodo 並從他們那裡下載了一個 bundle.crt 文件。根據此伺服器的設置,我將其重命名為 ssl.ca,現在證書通過了所有測試。Chain issues = Contains anchor通知不是問題(見下文)。

SSL Labs,被廣泛認為是最完整的測試,現在顯示Chain issues = Contains anchor,而以前顯示Chain issues = None(而其他顯示鏈有問題)。除了伺服器發送給客戶端的額外 1kB 之外,這實際上不是問題(12 )。

我的結論

  1. 忽略它所說的SSL LabsChain issues = Contains anchor測試或從捆綁文件中刪除根證書(請參閱下面的此評論)。
  2. 始終在其他三個測試站點( 1、2、3的至少一個上執行二次測試,以確保您的鏈在SSL Labs所說的情況下確實沒問題。Chain issues = None

鍊是否足夠取決於客戶端的 CA 儲存。看起來 Firefox 和 Google Chrome 已包含 2014 年底“COMODO RSA 證書頒發機構”的證書。對於 Internet Explorer,它可能取決於底層作業系統。CA 可能尚未包含在非瀏覽器(即爬蟲、移動應用程序等)使用的信任庫中。

無論如何,從SSLLabs 報告中可以看出,該鏈並不完全正確:

  • 一種信任路徑需要瀏覽器信任新的 CA。在這種情況下,您仍然發送錯誤的新 CA,因為受信任的 CA 必須是內置的,而不是包含在鏈中。
  • 另一個信任路徑不完整,即需要額外下載。某些瀏覽器(例如​​ Google Chrome)會執行此下載,而其他瀏覽器和非瀏覽器則希望所有必要的證書都包含在隨附的鏈中。因此,大多數沒有內置新 CA 的瀏覽器和應用程序將在此站點上失敗。

引用自:https://serverfault.com/questions/676070