SSL sertifikası yalnızca bazı istemciler için nasıl çalışır?

12

Barındırma sağlayıcım, eski sunucunun yanlışlıkla süresinin dolmasına izin verdikten sonra yakın zamanda alanım için bir SSL sertifikası yeniden düzenledi ve yeniden yükledi .

Artık tekrar HTTPS üzerinden web sitesine göz atabiliyorum ve ev sahibim de öyle, diğer kullanıcılar da öyle.

Bununla birlikte, bazı kullanıcılar (yüzlerce en az bir düzine) hala Your connection is not securefarklı tarayıcılarda ve platformlarda hata mesajları alıyor . (Yeniden üretemediğim bir sorunu teşhis etmek zor.)

Farklı tarayıcıların farklı Sertifika Yetkilileri (CA) listeleri kullandığını anlıyorum

  1. Benim gibi aynı Firefox sürümünü (OS X'te 45.0.1) çalıştıran bir kullanıcı neden değilken bir SEC_ERROR_UNKNOWN_ISSUERhata alıyor (sadece sitem için)? Bunu mümkün kılan nedir? Bahsedilen kullanıcı önbelleğini temizledi ve dizüstü bilgisayarını yeniden başlattı.

Digicert.com'da bir SSL kontrolü yaptım . Sonuç şudur:

SSL Sertifikasına güvenilmiyor

Sertifika güvenilir bir yetkili tarafından imzalanmamıştır (Mozilla'nın kök deposuna karşı denetleme). Sertifikayı güvenilir bir yetkiliden satın aldıysanız, muhtemelen bir veya daha fazla Ara sertifika yüklemeniz gerekir. Sunucu platformunuz için bu konuda yardım almak için sertifika sağlayıcınıza başvurun.

  1. Bu durumda siteye SSL hatası olmadan nasıl bağlanabilirim?
ssl  ssl-certificate 
Fabien Snauwaert
kaynak
1
My hosting provider has recently re-issued and re-installed an SSL certificate for my domain, after they let the old one expire by mistake.- Bu sorumluluğu ellerinde nasıl bıraktın?
joeqwerty
3
Sadece sistem yöneticisi olmadığım için onlardan yönetilen özel bir sunucu kiralıyorum. (Küçük arka plan hikayesi için, işi yürütmenin üstüne dil öğrenme materyali ve kodu yazıyorum, bu yüzden sysadmin yapmak da ilginç olsa da çok fazla şapka olacak.)
Fabien Snauwaert
7
@joeqwerty: Çünkü bu onların işi mi? Bu şeyleri onun için halletmek için onlara gerçekten para ödüyor.
Yörüngedeki Hafiflik Yarışları
@LightnessRacesinOrbit: Bu benim yapmadığım bir varsayım, dolayısıyla soru.
joeqwerty
1
bugzilla.mozilla.org/show_bug.cgi?id=399324 , Firefox'ta ara sertifikaları otomatik olarak indirmek için destek isteyen hata raporudur. Tartışma (8 yıl sonra) "IE yapıyor!" / "IE ile cehennem için, RFC isteğe bağlı olduğunu söylüyor!" / "Hiç sağlamlık ilkesini duydunuz mu?" / "Sunucu yapılandırmanız kötü ve kendinizi kötü hissetmelisiniz !"

Yanıtlar:

22

Sertifikanızın sertifika zinciri eksik. Büyük olasılıkla, sağlayıcınız yeni sertifikayı kurarken bir ara sertifika yükleyemedi.

Çoğu zaman bu tür ara sertifikalar, bazı eski tarayıcılara ve işletim sistemlerine destek sağlamak için SSL yetkilisi tarafından sağlanır. Bunun nedeni, sizin için çalışırken, bazı müşterileriniz için çalışmaz.

Web sitenizdeki SSL sorunlarını kontrol etmek için gerçekten harika bir yardımcı program SSLlabs tarafından yapılan SSL Sunucusu testidir . Yukarıdaki bağlantıda görebileceğiniz gibi, burada sadece bir zincir sorunu değil, aynı zamanda sertifikanızı oluşturmak için kullanılan imza algoritması zayıftır, web sunucunuz hala POODLE saldırısına karşı savunmasızdır ve hala RC4'ü desteklemektedir. ayrıca güvensiz olarak kabul edildi ...

Web sunucusu sağlayıcınıza karşı bir şey söylemek istemiyorum, ancak pozisyonunuzda bunları gönderirim, tüm bu sorunları en kısa sürede düzelttiklerini veya başka bir sağlayıcıya geçtiklerini ...

s1lv3r
kaynak
Teşekkür ederim, bu çok yardımcı oldu. Gerçek bir meraktan, OS X'teki bir istemcinin ve Firefox'un benimkiyle aynı sürümünün neden SEC_ERROR_UNKNOWN_ISSUERben değilken bir hata aldığını düşünüyor musunuz? İşletim sistemi sürümü farklı olabilir mi?
Fabien Snauwaert
1
@FabienSnauwaert Evet, "El Sıkışma Simülasyonu" na ilerlerseniz, SSLLabs testi çeşitli işletim sistemi / tarayıcı sürümü kombinasyonlarını simüle etmeye çalışır. Tarayıcı SSL bağlantılarını tamamen kendi başına işlemez, ancak kısmen işletim sisteminin uygulanmasına dayanır. Yani kesinlikle işletim sistemi sürümü bir fark yaratıyor.
s1lv3r
4
Sadece istemcilerin farklı CA listeleri olabilir. Bazı istemciler, ara sertifikayı önceden doğru yapılandırmamış bir siteyi daha önce ziyaret etmişse, ara sertifikası olmayan bir sitenin çalışabileceği şekilde ara sertifikaları önbelleğe almak da mümkündür.
kasperd
SSLlabs sitesi güzel bir araçtır. Referans için teşekkürler.
Parapluie
12

Bir sertifikanın güvenilir olması için, tarayıcı / işletim sistemi kombinasyonunuz tarafından güvenilen veya kendi başına böyle bir varlık tarafından imzalanan bir varlık tarafından imzalanmış olması gerekir. Bu genellikle bir ara CA'yı imzalayan bir güvenilir kök CA ve ara CA sertifikanızı imzalar. Bu, şöyle bir zincir oluşturur:

  1. Bilgisayarınızın güvendiği ve imzaladığı kök CA
  2. İmzalayan ara CA
  3. Yalnızca kök CA'ya giden zincir nedeniyle güvenilen sertifikanız.

Buradaki sorun ara CA sertifikasındadır. Herkesin zinciri kök CA'ya kadar doğrulayabilmesini sağlamak için, sağlayıcınız ara sertifikayı sunucu yapılandırmasına dahil etmelidir. Bu durumda, yapmadılar.

Bazı kullanıcılar için çalışmasının nedeni, kendi "güven deposunda" ara sertifikaya sahip olmalarıdır. Bu gibi durumlarda, sertifikanızı kabul ederler çünkü ara maddeye zaten güvenirler. Ancak ziyaretçilerinizin farklı bir işletim sistemi / tarayıcıya sahip olmaları durumunda, ara sertifikaları yoktur, bu nedenle web sunucunuzdan almaları gerekir - ve web sunucunuz bunu dağıtmaz, bu nedenle doğrulamak.

Jenny D
kaynak
Teşekkür ederim, sorunu şimdi net bir şekilde görmeme yardımcı oluyor. Ev sahibimin sertifikayı düzeltmesini beklerken, kullanıcıların ara sertifikayı kendi “güven deposuna” eklemelerini sağlamak için herhangi bir hile var mı? örneğin: buna dayanan başka bir SSL sitesini mi ziyaret ediyorsunuz?
Fabien Snauwaert
1
@FabienSnauwaert Maalesef bir hile yok. Aynı ara sertifikasına sahip bir siteyi ziyaret etmek yardımcı olmaz; sertifikayı gerçekten indirmeleri ve tarayıcılarına manuel olarak eklemeleri gerekir. Bu sertifikanın daha yeni tarayıcılarda yer aldığını düşünüyorum - Firefox 45.0.1'de çalışıyor, ancak 43.0.4'te çalışmıyor, bu yüzden bu iki sürüm arasında bir yere dahil edildi. Dolayısıyla, müşterilerinize tarayıcılarını yükseltmelerini sağlayabiliyorsanız, bu yardımcı olacaktır.
Jenny D
4
@JennyD Ara sertifikalar modern tarayıcılar tarafından önbelleğe alınır, bu nedenle aynı aracı kullanan farklı bir siteyi ziyaret etmek muhtemelen işe yarar. Ancak, bu gerçekten kullanıcılarından sorması gereken bir şey değil ... (bkz: bugzilla.mozilla.org/show_bug.cgi?id=629558 , sslmate.com/blog/post/chrome_cached_sha1_chains )
Bob
0

Kullandığınız takdirde HTTP Açık Anahtar iğneleme ve sağlayıcınız size yeni bir sertifika verdi kamu anahtarları zaten değişmiş olabilir. Bu anahtarlar, belirttiğiniz süre boyunca istemcinin tarayıcısına kaydedilir.

jarvis
kaynak
0

Aynı hatayla karşılaştım ve tam zincirli.pem'e işaret eden bir SSLCertificateChainFile yönergesini dahil etmeyi ihmal ettiğim ortaya çıktı. Bunu ekledikten sonra digicert'ten "TLS Sertifikası doğru şekilde kuruldu" ifadesini aldım.

SSLCertificateFile /etc/letsencrypt/live/unternet.net/fullchain.pem
SSLCertificateChainFile /etc/letsencrypt/live/unternet.net/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/unternet.net/privkey.pem
jcomeau_ictx
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.