一位 Mac 使用者仍然堅持使用過期的 AddTrust 根 CA 證書，但伺服器已更新

我最近遇到了今年 5 月 30 日到期的 Sectigo 根證書問題：https ://gist.github.com/minaguib/c8db186af450bceaaa7c452ba6a9901b

我更新了我們伺服器上的證書鏈，除了一個使用者之外，所有員工和使用者的更改都是無縫的。

遇到問題的單個使用者正在為我們的網站載入無效鏈。下面有截圖。

伺服器端注意事項：

• 伺服器已更新並確認證書和鏈正常執行（附截圖）。
• 我有一個客戶端仍在載入無效的證書鏈。
• 終止 TLS 的伺服器是一個 Amazon ALB 實例。
• 伺服器證書鏈已使用線上服務進行了驗證，以確保安全。下面有一個螢幕截圖顯示了這一點。

客戶端註釋：

• 刪除了 Mac 鑰匙串中的任何“過期”或“無效”條目。
• 在 Mac 鑰匙串中搜尋對“AddTrust”的任何引用
• 完全清除所有瀏覽器記憶體。Chrome 是最新版本 83.0.4103.97 （但是 Safari 也失敗了，所以它不是我不認為的瀏覽器）
• 檢查日期/時間

以下是最終使用者在瀏覽器證書鏈中看到的內容：

以下是其他人在瀏覽我們的網站時看到的內容：

這是來自 3rd 方線上服務的驗證，以確認鏈的有效性：

想通了。

使用者使用的是沒有現代根 CA 的 MacOS 10.11 (El Capitan)，Apple 在 2019 年停止更新作業系統。

因此，Mac 鑰匙串沒有更新的根 CA，因此我的站點證書不受信任。

受影響最大的客戶：

• Apple Mac OS X 10.11 (El Capitan) 或更早版本
• 蘋果 iOS 9 或更早版本
• Google安卓 5.0 或更早版本
• 如果自 2010 年 6 月之前已禁用更新根證書功能，則為 Microsoft Windows Vista 和 7
• 如果自 2010 年 6 月之前未收到自動根更新，則為 Microsoft Windows XP
• Mozilla Firefox 35 或更早版本
• Oracle Java 8u50 或更早版本
• 自 2015 年年中之前未安裝韌體更新的嵌入式設備（尤其是複印機）

更多細節：

• https://www.namecheap.com/blog/sectigo-ssl-certificate-root-expiration-issue/
• https://www.cmu.edu/iso/service/cert-auth/addtrust.html
• https://discussions.apple.com/thread/250321044
• https://www.theregister.com/2020/06/02/sectigo_root_cert_expires/

引用自：https://serverfault.com/questions/1020613