Bu SSL sertifika zinciri bozuk mu ve nasıl düzeltilir?

13

Example.com alan adındaki SSL sertifikası için, bazı testler zincirin eksik olduğunu ve Firefox'un kendi sertifika deposunu sakladığı için Mozilla'da başarısız olabilir ( 1 , 2 , 3 ). Diğerleri bana , sertifika zincirinin iyi olduğunu söyleyen Firefox 36 gibi, iyi olduğunu söylüyor.

GÜNCELLEME: Hem Windows XP hem de MacOS X Snow Leopard'da Opera, Safari, Chrome ve IE üzerinde test ettim, hepsi iyi çalışıyor. Yalnızca her iki işletim sisteminde de Firefox <36'da başarısız oluyor. Linux'ta test yapmaya erişimim yok, ancak bu web sitesi için ziyaretçilerin% 1'inden daha az ve muhtemelen botlar. Bu, orijinal sorulara "bu kurulum Mozilla Firefox'ta uyarı getiriyor mu, değil mi?" Ve "Bu SSL sertifika zinciri bozuk mu değil mi?"

Bu nedenle, soru ssl.ca dosyasına hangi sertifikaları yerleştirmem gerektiğini nasıl öğrenebilirim ki Firefox <36'nın boğulmasını önlemek için Apache tarafından sunulabilirler?

Not: Yan not olarak, sertifikayı test etmek için kullandığım Firefox 36 yepyeni bir kurulumdu. Aynı zinciri kullanan bir siteye daha önce yapılan bir ziyaret sırasında bir ara sertifika indirdiği için şikayet etme şansı yoktur .

ssl  ssl-certificate  https  certificate  certificate-authority 
Gaia
kaynak
1
Mutlaka değil - her durumda, kendi sorunuza cevap verebiliyorsanız, bunu yapmaya teşvik
ettiniz
Evet, buna cevap verdim, ancak kırılmak yerine nasıl düzeltileceğini yeniden sormak daha yararlı olacaktır. Bunu yapmak uygun mu?
Gaia
1
Kesinlikle. Buradaki yanıtları da alakalı tutar (yayınlandıkları andan itibaren haklıydılar, değil mi?)
Kanadalı Luke
@Gaia: ah, tamam - Şimdi ne demek istediğini anlıyorum. Bu konuda en iyi uygulama olarak kabul edilebilecek şeylerden% 100 daha fazla değilim, ama içgüdüm sorunuzu "içerecek ve bu nasıl çözülmeli?" Sizin durumunuzda, Steffen Ullrich'in cevabına göre, "COMODO RSA Sertifika Yetkilisi" sertifikası zincirde yok - potansiyel müşteri hatalarından kaçınabilirsiniz, ancak zincirinize dahil edebilirsiniz. Bu, el sıkışmasına potansiyel olarak gereksiz yükü eklediği için gerçekten kötü bir uygulama olarak kabul edilir - aksi takdirde zararlı bir etkisi yoktur.
BE77Y
Yukarıdakilere ek olarak, tüm modern müşterilerin olmasa bile çoğu şu anda olduğu gibi kurulumda kesinlikle iyi olması gerektiğini belirtmek gerekir (SSLlabs testine göre)
BE77Y

Yanıtlar:

8

Zincir yeterliyse, istemcinin CA deposuna bağlıdır. Firefox ve Google Chrome, 2014 yılı sonunda "COMODO RSA Sertifika Yetkilisi" sertifikasını içeriyor gibi görünüyor. Internet Explorer için muhtemelen temel işletim sistemine bağlıdır. CA, tarayıcılar, mobil cihazlar, vb. Tarafından kullanılan güven mağazalarına henüz dahil edilmemiş olabilir.

Her durumda, SSLLabs raporundan da görülebileceği gibi zincir tam olarak doğru değildir :

  • Bir güven yolunun yeni CA'ya tarayıcı tarafından güvenilmesi gerekir. Bu durumda, yine de yanlış olan yeni CA'yı gönderirsiniz, çünkü güvenilir CA'lar yerleşik olmalı ve zincirde bulunmamalıdır.
  • Diğer güven yolu eksik, yani ekstra bir indirme gerekiyor. Google Chrome gibi bazı tarayıcılar bu indirmeyi gerçekleştirirken, diğer tarayıcılar ve tarayıcı olmayanlar gerekli tüm sertifikaların gönderilen zincir içinde yer almasını bekler. Bu nedenle, yeni CA yerleşik olmayan tarayıcıların ve uygulamaların çoğu bu sitede başarısız olacaktır.
Steffen Ullrich
kaynak
Chrome ve IE'nin hem Windows sertifika deposunu kullandığı izlenimi altındayım. Chrome'un kendi ek mağazasına sahip olduğundan emin misiniz?
Gaia
SSLlabs "Zincir sorunları = Yok" diye belirtiyor, ancak aşağıda ayrıntılı zincir analizini görüyorum.
Gaia
1
FWIW, OS X altındaki Chrome, gerçekten de @SteffenUllrich işletim sistemi sertifika deposunu kullanıyor.
BE77Y
1
@Gaia: Mobil istemcileri unutmayın, çeşitli Android sürümleri arasında da farklılık gösterebilecek kendi sertifika depoları vardır.
Steffen Ullrich
1
@Gaia: SSLLabs tarafından gösterilen ikinci güven yolunu izleyin ve eksik zincir sertifikasını ekleyin. Bu zincir daha sonra hem daha yeni CA'ya sahip tarayıcılar hem de henüz bu CA'ya sahip olmayan tarayıcılar tarafından doğrulanabilir.
Steffen Ullrich
8

Comodo ile temasa geçtim ve onlardan bir bundle.crt dosyası indirdim. Bu sunucunun kurulumuna göre ssl.ca olarak yeniden adlandırdım ve şimdi sertifika tüm testleri geçiyor. Chain issues = Contains anchorBildirim bir sorun değildir (aşağıya bakınız).

SSL Labs, yaygın olarak en eksiksiz test olarak kabul edilirken, şimdi gösterilmeden Chain issues = Contains anchorönce Chain issues = None(diğerleri zincirle ilgili bir sorun gösterdiğinde) gösteriyor. Bu, sunucunun istemciye gönderdiği fazladan bir 1kB'nin yanı sıra gerçekten sorun değil ( 1 , 2 ).

Benim sonucum

  1. Ignore SSL Labs diyor testini Chain issues = Contains anchorVEYA paket dosyadan kök sertifika kaldırmak (aşağıda bu yorumu görmek).

  2. SSL Labs derken zincirinizin gerçekten iyi olduğundan emin olmak için her zaman diğer üç test sitesinden ( 1 , 2 , 3 ) en az birinde ikincil bir test yapın .Chain issues = None

Gaia
kaynak
2
Gerçek "çapa" / "kök" sertifikasını eklemenin hiçbir anlamı yoktur. Ancak ara sertifikayı çok istiyorsun. Başlangıçta ara sertifikanız olmadığını düşünüyorum, bu da sorunlara neden oldu.
Håkan Lindqvist
@ HåkanLindqvist Yani ben certs şifresini çözmek, kök sertifika olduğunu bulmak ve zincirden kaldırmak gerekir?
Gaia
1
Ara certs eksik gibi ciddi bir sorun olmasa bile bunu yapmanızı öneririm (sadece biraz savurgan). Fwiw, Qualy'nin SSL Testi bunun 02faf3e291435468607857694df5e45b68851868gereksiz olduğunu gösteriyor.
Håkan Lindqvist
@ HåkanLindqvist openssl x509 -fingerprint -in ssl.cai kullanarak dosyanın parmak izi 02faf3e291435468607857694df5e45b68851868olan kısmı ilk PEM olduğunu çivilenmiş . Kaldırdım ve şimdi i.imgur.com/1iG2UCz.png ve i.imgur.com/m8gYbdG.png (OCSP HATASI: OCSP durumu ile istek başarısız oldu: 6 [ ocsp.comodoca.com] )
Gaia
3
"Çapa içerir" uyarısı ile ilgili sonucunuz geçerlidir - Güvenlik ile ilgili bu cevap; özetle gönderirken herhangi bir sorun yok: security.stackexchange.com/a/24566/7043
Chris J
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.