SSL güven zincirimdeki sorun nedir?

10

Sitem için SSL sertifikası, https://www.snipsalonsoftware.com/ , Android'de çalışmıyor. Bu sorunu gidermek için sitemi Qualys SSL Labs test aracına taktım:

https://www.ssllabs.com/ssltest/analyze.html?d=www.snipsalonsoftware.com&s=50.57.181.104

Bu rapor bana "zincir sorunları" yaşadığımı söylüyor. Bir şey "eksik". Ama tam olarak neyin eksik olduğunu anlamakta güçlük çekiyorum.

Bir sonraki bölümde, "Sertifika Yolları" altında, turuncu renkte görüyorum (ve portakalın "biraz kötü" anlamına geldiğini tahmin ediyorum) "Ekstra indirme". Bunun ne anlama geldiğini veya nasıl düzeltileceğini bilmiyorum. Bu konuyu buldum , ancak söylediklerini benim için bir çözüme nasıl çevireceğimizi söyleyemem.

Ne yapmalıyım?

ssl 
Jason Swett
kaynak

Yanıtlar:

5

Sunucunuzu yalnızca sertifikayı tarayıcılara gönderecek şekilde yapılandırdınız. Çoğu masaüstü tarayıcısı için bu iyidir, çünkü zaten çok sayıda ara ve kök CA ayrıntısı içerirler, böylece güven zincirini kolayca oluşturabilirler. Çoğu mobil tarayıcı için, genellikle sertifika zincirinin tamamını, yani kendi sertifikanızı veren CA'nın sertifikasını ve bununla nihai kök CA arasında var olabilecek tüm aralıkları sağlamanız gerekir. Mobil cihaz büyük olasılıkla yalnızca bu senaryoda kök CA ayrıntılarına sahip olacaktır.

Belirli bir sertifika için bu Comodo yardım masası makalesini okuyabilirsiniz: Bilgi Bankası: Comodo Sertifika Yetkilisi> Sertifikalar> SSL> Sertifika Kurulumu

ThatGraemeGuy
kaynak
1
Teşekkürler. "SSLCertificateChainFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle ***" yazan cevaba yol açan bu sayfa olduğu ortaya çıktı
Jason Swett
4

Sertifika, sertifikanın sertifikasının URL'sini içeren özel bir Yetkili Bilgi Erişimi uzantısı ( RFC-3280 ) içerebilir . Çoğu tarayıcı, sertifika zincirini tamamlamak üzere eksik ara sertifikayı indirmek için AIA uzantısını kullanabilir. Ancak bazı istemciler (mobil tarayıcılar, OpenSSL) bu uzantıyı desteklemediğinden, güvenilmeyen sertifikalar bildiriyorlar.

Bu tür sorunları önlemek için, sertifikadaki tüm sertifikaları güvenilen kök sertifikaya (bu sırayla özel olarak) birleştirerek eksik sertifika zinciri sorununu el ile çözebilirsiniz . Sistem kök sertifika deposunda zaten yer aldığından, güvenilen kök sertifikanın orada olmaması gerektiğini unutmayın.

Orta düzey sertifikaları yayıncıdan alabilmeli ve kendiniz bir araya getirebilmelisiniz. Yordamı otomatikleştirmek için bir komut dosyası yazdım, doğru zincirli sertifikaların çıktısını üretmek için AIA uzantısı üzerinden döngüler. https://github.com/zakjan/cert-chain-resolver

zakjan
kaynak
Müthiş cevap, bu bana yardımcı olan tek şey. Senaryoya sertifikamı verdim (sadece tekli sertifikam, paket değil) ve web sunucusu için gerekli olan tüm sertifika yığınını yarattım.
onlynone
Bunun için de bir webservice var: certificatechain.io
rcoup
shukshin.ivan
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.