Apa yang salah dengan rantai kepercayaan SSL saya?

10

Sertifikat SSL untuk situs saya, https://www.snipsalonsoftware.com/ , tidak berfungsi di Android. Dalam memecahkan masalah ini, saya telah menghubungkan situs saya ke alat pengujian Qualys SSL Labs:

https://www.ssllabs.com/ssltest/analyze.html?d=www.snipsalonsoftware.com&s=50.57.181.104

Laporan ini sepertinya memberi tahu saya bahwa saya memiliki "masalah berantai". Sesuatu itu "tidak lengkap". Tapi saya kesulitan memahami apa yang tidak lengkap.

Di bagian berikutnya, di bawah "Jalur Sertifikasi", saya melihat dalam warna oranye (dan saya rasa oranye berarti "agak buruk") "Unduhan ekstra". Saya tidak tahu apa artinya ini atau bagaimana cara memperbaikinya. Saya menemukan utas ini , tetapi saya tidak tahu bagaimana menerjemahkan apa yang mereka katakan menjadi solusi bagi saya.

Apa yang harus saya lakukan?

ssl Jason Swett
sumber

Jawaban:

5

Anda telah mengkonfigurasi server Anda untuk hanya mengirim sertifikat ke browser. Untuk sebagian besar browser desktop, ini bagus karena mereka sudah mengandung banyak detail CA menengah dan root, sehingga mereka dapat membangun rantai kepercayaan dengan mudah. Untuk sebagian besar peramban seluler, Anda biasanya perlu menyediakan seluruh rantai sertifikat, yaitu sertifikat Anda sendiri, sertifikat CA yang diterbitkan dan perantara apa pun yang mungkin ada antara itu dan CA akar utama. Perangkat seluler cenderung memiliki rincian CA root hanya dalam skenario ini.

Untuk Anda yang spesifik, Anda dapat membaca artikel helpdesk Comodo ini: Knowledgebase: Otoritas Sertifikasi Comodo> Sertifikat> SSL> Instalasi Sertifikat

ThatGraemeGuy
sumber
1
Terima kasih. Ternyata ini adalah halaman ini yang mengarah ke jawaban, bagian yang mengatakan: "SSLCertificateChainFile /etc/ssl/ssl.ss/AndaDomainName.ca-bundle ***"
Jason Swett
4

Sertifikat dapat berisi ekstensi Akses Informasi Otoritas khusus ( RFC-3280 ) dengan URL ke sertifikat penerbit. Sebagian besar browser dapat menggunakan ekstensi AIA untuk mengunduh sertifikat perantara yang hilang untuk menyelesaikan rantai sertifikat. Tetapi beberapa klien (browser seluler, OpenSSL) tidak mendukung ekstensi ini, sehingga mereka melaporkan sertifikat tersebut sebagai tidak tepercaya.

Anda dapat memecahkan masalah rantai sertifikat yang tidak lengkap secara manual dengan menggabungkan semua sertifikat dari sertifikat ke sertifikat akar tepercaya (eksklusif, dalam urutan ini), untuk mencegah masalah tersebut. Catatan, sertifikat root tepercaya seharusnya tidak ada di sana, karena sudah termasuk dalam penyimpanan sertifikat root sistem.

Anda harus dapat mengambil sertifikat perantara dari penerbit dan menyatukannya sendiri. Saya telah menulis sebuah skrip untuk mengotomatiskan prosedur, ia melewati ekstensi AIA untuk menghasilkan output dari sertifikat yang dirantai dengan benar. https://github.com/zakjan/cert-chain-resolver

zakjan
sumber
Jawaban yang mengagumkan, ini adalah satu-satunya hal yang membantu saya. Saya memberi skrip sertifikat saya (hanya sertifikat tunggal saya, bukan bundel) dan menciptakan setumpuk sertifikat yang diperlukan untuk server web.
onlynone
Ada layanan web untuk ini juga: certificatechain.io
rcoup
github.com/spatie/ssl-certificate-chain-resolver - paket php untuk itu jika Anda tidak punyaGo
shukshin.ivan