Ssl

一位 Mac 使用者仍然堅持使用過期的 AddTrust 根 CA 證書,但伺服器已更新

  • June 9, 2020

我最近遇到了今年 5 月 30 日到期的 Sectigo 根證書問題:https ://gist.github.com/minaguib/c8db186af450bceaaa7c452ba6a9901b

我更新了我們伺服器上的證書鏈,除了一個使用者之外,所有員工和使用者的更改都是無縫的。

遇到問題的單個使用者正在為我們的網站載入無效鏈。下面有截圖。

伺服器端注意事項:

  • 伺服器已更新並確認證書和鏈正常執行(附截圖)。
  • 我有一個客戶端仍在載入無效的證書鏈。
  • 終止 TLS 的伺服器是一個 Amazon ALB 實例。
  • 伺服器證書鏈已使用線上服務進行了驗證,以確保安全。下面有一個螢幕截圖顯示了這一點。

客戶端註釋:

  • 刪除了 Mac 鑰匙串中的任何“過期”或“無效”條目。
  • 在 Mac 鑰匙串中搜尋對“AddTrust”的任何引用
  • 完全清除所有瀏覽器記憶體。Chrome 是最新版本 83.0.4103.97 (但是 Safari 也失敗了,所以它不是我不認為的瀏覽器)
  • 檢查日期/時間

以下是最終使用者在瀏覽器證書鏈中看到的內容:

壞證書鏈

以下是其他人在瀏覽我們的網站時看到的內容:

良好的證書鏈

這是來自 3rd 方線上服務的驗證,以確認鏈的有效性:

伺服器證書鏈

想通了。

使用者使用的是沒有現代根 CA 的 MacOS 10.11 (El Capitan),Apple 在 2019 年停止更新作業系統。

因此,Mac 鑰匙串沒有更新的根 CA,因此我的站點證書不受信任。

受影響最大的客戶:

  • Apple Mac OS X 10.11 (El Capitan) 或更早版本
  • 蘋果 iOS 9 或更早版本
  • Google安卓 5.0 或更早版本
  • 如果自 2010 年 6 月之前已禁用更新根證書功能,則為 Microsoft Windows Vista 和 7
  • 如果自 2010 年 6 月之前未收到自動根更新,則為 Microsoft Windows XP
  • Mozilla Firefox 35 或更早版本
  • Oracle Java 8u50 或更早版本
  • 自 2015 年年中之前未安裝韌體更新的嵌入式設備(尤其是複印機)

更多細節:

引用自:https://serverfault.com/questions/1020613