Ssl
一位 Mac 使用者仍然堅持使用過期的 AddTrust 根 CA 證書,但伺服器已更新
我最近遇到了今年 5 月 30 日到期的 Sectigo 根證書問題:https ://gist.github.com/minaguib/c8db186af450bceaaa7c452ba6a9901b
我更新了我們伺服器上的證書鏈,除了一個使用者之外,所有員工和使用者的更改都是無縫的。
遇到問題的單個使用者正在為我們的網站載入無效鏈。下面有截圖。
伺服器端注意事項:
- 伺服器已更新並確認證書和鏈正常執行(附截圖)。
- 我有一個客戶端仍在載入無效的證書鏈。
- 終止 TLS 的伺服器是一個 Amazon ALB 實例。
- 伺服器證書鏈已使用線上服務進行了驗證,以確保安全。下面有一個螢幕截圖顯示了這一點。
客戶端註釋:
- 刪除了 Mac 鑰匙串中的任何“過期”或“無效”條目。
- 在 Mac 鑰匙串中搜尋對“AddTrust”的任何引用
- 完全清除所有瀏覽器記憶體。Chrome 是最新版本 83.0.4103.97 (但是 Safari 也失敗了,所以它不是我不認為的瀏覽器)
- 檢查日期/時間
以下是最終使用者在瀏覽器證書鏈中看到的內容:
以下是其他人在瀏覽我們的網站時看到的內容:
這是來自 3rd 方線上服務的驗證,以確認鏈的有效性:
想通了。
使用者使用的是沒有現代根 CA 的 MacOS 10.11 (El Capitan),Apple 在 2019 年停止更新作業系統。
因此,Mac 鑰匙串沒有更新的根 CA,因此我的站點證書不受信任。
受影響最大的客戶:
- Apple Mac OS X 10.11 (El Capitan) 或更早版本
- 蘋果 iOS 9 或更早版本
- Google安卓 5.0 或更早版本
- 如果自 2010 年 6 月之前已禁用更新根證書功能,則為 Microsoft Windows Vista 和 7
- 如果自 2010 年 6 月之前未收到自動根更新,則為 Microsoft Windows XP
- Mozilla Firefox 35 或更早版本
- Oracle Java 8u50 或更早版本
- 自 2015 年年中之前未安裝韌體更新的嵌入式設備(尤其是複印機)
更多細節: