¿Qué hay de malo en mi cadena de confianza SSL?

10

El certificado SSL para mi sitio, https://www.snipsalonsoftware.com/ , no funciona en Android. Al solucionar este problema, conecté mi sitio a la herramienta de prueba Qualys SSL Labs:

https://www.ssllabs.com/ssltest/analyze.html?d=www.snipsalonsoftware.com&s=50.57.181.104

Este informe parece decirme que tengo "problemas de cadena". Algo está "incompleto". Pero tengo problemas para entender exactamente lo que está incompleto.

En la siguiente sección, en "Rutas de certificación", veo en naranja (y supongo que naranja significa "algo malo") "Descarga adicional". No tengo idea de lo que esto significa o cómo solucionarlo. Encontré este hilo , pero no puedo decir cómo traducir lo que dicen en una solución para mí.

¿Qué tengo que hacer?

ssl Jason Swett
fuente

Respuestas:

5

Ha configurado su servidor para que solo envíe el certificado a los navegadores. Para la mayoría de los navegadores de escritorio, esto está bien porque ya contienen una gran cantidad de detalles de CA intermedios y raíz, por lo que pueden construir fácilmente la cadena de confianza. Para la mayoría de los navegadores móviles, generalmente debe proporcionar toda la cadena de certificados, es decir, su propio certificado, el de la CA emisora ​​y cualquier intermediario que pueda existir entre esa y la CA raíz definitiva. Es probable que el dispositivo móvil tenga los detalles de la CA raíz solo en este escenario.

Para su certificado específico, puede leer este artículo del servicio de asistencia de Comodo: Base de conocimiento: Autoridad de certificación de Comodo> Certificados> SSL> Instalación de certificados

ThatGraemeGuy
fuente
1
Gracias. Resultó ser esta página la que condujo a la respuesta, la parte que dice: "SSLCertificateChainFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle ***"
Jason Swett el
4

Un certificado puede contener una extensión especial de Acceso a información de autoridad ( RFC-3280 ) con URL al certificado del emisor. La mayoría de los navegadores pueden usar la extensión AIA para descargar el certificado intermedio que falta para completar la cadena de certificados. Pero algunos clientes (navegadores móviles, OpenSSL) no admiten esta extensión, por lo que informan que dicho certificado no es de confianza.

Puede resolver el problema de la cadena de certificados incompleta manualmente mediante la concatenación de todos los certificados del certificado al certificado raíz de confianza (exclusivo, en este orden), para evitar dichos problemas. Tenga en cuenta que el certificado raíz de confianza no debe estar allí, ya que ya está incluido en el almacén de certificados raíz del sistema.

Debería poder obtener certificados intermedios del emisor y reunirlos usted mismo. He escrito un script para automatizar el procedimiento, recorre la extensión AIA para producir la salida de certificados correctamente encadenados. https://github.com/zakjan/cert-chain-resolver

zakjan
fuente
Impresionante respuesta, esto es lo único que me ayudó. Le di al script mi ​​certificado (solo mi certificado único, no el paquete) y creó la pila completa de certificados necesarios para el servidor web.
onlynone
También hay un servicio web para esto: certificatechain.io
rcoup
github.com/spatie/ssl-certificate-chain-resolver - paquete php para eso si no tienesGo
shukshin.ivan