¿Por qué Android Chrome dice que el certificado de seguridad de mi sitio no es confiable?

14

Mi sitio es https://blendbee.com . Está utilizando un certificado PositiveSSL que es válido.

En Windows 8 Chrome, el certificado está bien (bloqueo verde en la esquina superior izquierda).

Pero ... en mi Android, no está tan bien. Captura de pantalla: http://postimg.org/image/6vc64lr1d/

Alguna idea de por qué?

El servidor ejecuta Ubuntu 13.10 en Digital Ocean.

Kane
fuente
IIRC, algunos certificados de Comodo no son confiables en versiones antiguas de Android (2.x).
ceejayoz
1
Reproducido en KitKat 4.4.4. Entonces no es un caso de Android antiguo .
Michael Hampton
2
Sí, esto fue en mi Samsung Galaxy S5
Kane

Respuestas:

16

Debe proporcionar toda la cadena de certificados para que se muestre como confiable.

Aquí está el enlace que obtuve para obtener las instrucciones de comodo sobre la instalación de la cadena de certificados en apache: https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/637/37/certificate-installation-apache-- mod_ssl

Obtuve esto de http://www.sslshopper.com/ssl-checker.html#hostname=blendbee.com , que marcó su certificado como no confiable en todos los navegadores debido a una cadena incompleta.

austinian
fuente
1
Como nota, si obtiene un montón de archivos .crt pero ningún paquete, puede que tenga que crear su propio archivo de paquete como lo hice para mi certificado de comodo: support.comodo.com/index.php?/Knowledgebase/Article/View /
643/0
4

Un certificado puede contener una extensión especial de Acceso a información de autoridad ( RFC-3280 ) con URL al certificado del emisor. La mayoría de los navegadores pueden usar la extensión AIA para descargar el certificado intermedio que falta para completar la cadena de certificados. Pero algunos clientes (navegadores móviles, OpenSSL) no admiten esta extensión, por lo que informan que dicho certificado no es de confianza.

Puede resolver el problema de la cadena de certificados incompleta manualmente concatenando todos los certificados del certificado al certificado raíz de confianza (exclusivo, en este orden), para evitar dichos problemas. Tenga en cuenta que el certificado raíz de confianza no debe estar allí, ya que ya está incluido en el almacén de certificados raíz del sistema.

Debería poder obtener certificados intermedios del emisor y reunirlos usted mismo. He escrito un script para automatizar el procedimiento, recorre la extensión AIA para producir resultados de certificados correctamente encadenados. https://github.com/zakjan/cert-chain-resolver

zakjan
fuente
-1

Chrome no confía en la raíz ni en el certificado intermedio, que creo que utiliza el conjunto de CA nativo de Android. Ese conjunto es visible desde settings->security->Trusted credentials.

Esta pregunta sobre ad android.se, podría ayudar aún más.

84104
fuente
El certificado raíz. estaba en la tienda de confianza, pero no el certificado intermedio. El cert. la cadena que contenía todos los intermedios no estaba incluida y el cliente no estaba escalando la cadena usando la extensión de Acceso a la Información de la Autoridad (posiblemente porque la información no estaba incluida en el certificado presentado por el servidor) para ver si la cadena conducía a un CALIFORNIA.
austinian