Certificado SSL: orden incorrecta

1

Tengo un certificado SSL EV para https://goout.cz . Según esta prueba, estamos obteniendo A +:

https://www.ssllabs.com/ssltest/analyze.html?viaform=on&d=goout.cz

Sin embargo, recibo una advertencia de "Orden incorrecta, contiene ancla".

Pero esta prueba: https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp

Dice: Certificado no instalado correctamente.

Hasta ahora no puedo encontrar el problema. Pensé que podría haber concatenado erróneamente los certificados principal e intermedio, pero verifiqué que el certificado principal es el primero y luego siguen los certificados intermedios.

Gracias.

Vojtěch
fuente

Respuestas:

3

Su archivo debe contener

  1. Su certificado
  2. El certificado intermedio que firmó su certificado
  3. Cualquier otro certificado intermedio, en orden

Su archivo NO debe contener el certificado raíz.

En otras palabras:

  • El sujeto de Cert 0 deberías ser tú
  • El emisor del Cert 0 debe ser igual al sujeto del cert 1
  • El emisor del Cert 1 debe ser igual al sujeto del cert 2
  • ...
  • El emisor de Cert n debe ser igual al sujeto de la raíz
  • El emisor de la raíz debería, por definición, ser igual a su sujeto (de lo contrario, no es un certificado raíz).

¿Estás usando Linux con openssl? Si es así, puedo proporcionar un script para verificar esto.

Me acabo de conectar a su sitio usando

$ openssl s_client -showcerts -connect goout.cz:443 2> /dev/null | grep ' [0-9 ] [is]:'
 0 s:/serialNumber=01901613/jurisdictionC=CZ/jurisdictionST=Prague/jurisdictionL=Prague 3/businessCategory=Private Organization/C=CZ/postalCode=130 00/ST=Prague/L=Prague 3/street=Husinecka 792/25/O=GoOut s.r.o./OU=Technical/OU=COMODO EV SSL/CN=goout.cz
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Extended Validation Secure Server CA
 1 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
 2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
 3 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Extended Validation Secure Server CA
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
^C

Parece que tiene un archivo con cuatro certificados, y para obtener una puntuación perfecta, debe eliminar el segundo e intercambiar los dos últimos.

Ley29
fuente
Gracias por la explicación, esto tiene sentido! ¿Sabe por qué pusieron el segundo certificado (que eliminé en su sugerencia) en el conjunto de certificados intermedios, mientras que no debería estar allí? De todos modos, el criptoreport ahora es correcto, pero ssllabs todavía dice orden incorrecta: /
Vojtěch
Creo que fue solo un problema de caché; Acabo de hacer la prueba de ssllabs en su sitio y nada es "incorrecto" en absoluto, tiene un grado A + :) En cuanto al certificado raíz en los intermedios. . . ¡ni idea!
Law29