OS X 不信任 Thawte 主根 CA - G3
我們最近更新了 Nginx 網路伺服器的 Thawte SSL 證書。以前我們一直使用 SHA1 作為簽名算法,但這次使用了 SHA256,這導致了一個名為“thawte Primary Root CA - G3”的新根證書(可以在他們的網站上找到 - 沒有足夠的代表發布連結)。
自推出以來,我們開始收到使用 OS X 的客戶的電話,詢問在瀏覽 https 頁面時收到錯誤“此證書由未知機構簽名”。
Thawte 的證書檢查器對我們安裝的證書鏈非常滿意:https ://ssltools.thawte.com/checker/views/certCheck.jsp (我們有我們的證書,加上 pem 文件中的“thawte Extended Validation SHA256 SSL CA”中間)
經過測試,我們發現在 OS X os 所有版本的 Safari、Opera 和 Chrome 下都會出現錯誤。Firefox 在 OS X 下是可以的(我相信它帶有自己的證書信任儲存)。在 Windows 下,所有瀏覽器似乎都可以。
當我們檢查 OS X Access Keychain 時,我們發現已安裝 thawte Primary Root CA - G3 WAS,但不知何故,瀏覽器無法完成該鏈。
這是一個測試站點(不是我們的),它使用相同的中間體和根,在 OS X 下表現出完全相同的症狀:
誰能解釋為什麼 OS X 在預設情況下安裝在 OS X 10.9 的 Access Keychain 中時,沒有將此站點的根 CA 辨識為受信任?
剛剛通過聊天與 Thawte 支持進行了交談,他們已確認這是一個問題,並已與 Apple(自 2014 年 7 月 31 日起)就此問題進行了公開案例。目前還沒有關於修復的回复/預計到達時間。
2014 年 9 月 17 日,最新的 Mac 作業系統仍未接受主根 CA - G3(帶有 SHA-256 簽名的中間體)。
Thawte 送出了一個 Apple 錯誤編號 17095623 以讓他們解決此問題。