Untuk sertifikat SSL di domain example.com, beberapa tes memberi tahu saya bahwa rantai tidak lengkap dan karena Firefox menyimpan toko sertifikatnya sendiri, mungkin gagal di Mozilla ( 1 , 2 , 3 ). Yang lain memberi tahu saya bahwa itu baik-baik saja , seperti halnya Firefox 36, yang memberi tahu saya bahwa rantai sertifikat baik-baik saja.
UPDATE: Saya menguji pada Opera, Safari, Chrome dan IE pada Windows XP dan MacOS X Snow Leopard, semuanya bekerja dengan baik. Itu hanya gagal pada Firefox <36 pada kedua OS. Saya tidak punya akses untuk menguji di Linux, tetapi untuk situs web ini kurang dari 1% pengunjung, dan sebagian besar mungkin bot. Jadi, ini menjawab pertanyaan awal "apakah pengaturan ini memunculkan peringatan di Mozilla Firefox atau tidak" dan "Apakah rantai sertifikat SSL ini rusak atau tidak?".
Oleh karena itu, pertanyaannya adalah bagaimana cara mengetahui sertifikat mana yang harus saya tempatkan di file ssl.ca sehingga dapat dilayani oleh Apache agar Firefox <36 tidak tersedak?
PS: Sebagai catatan, Firefox 36 yang saya gunakan untuk menguji sertifikat adalah instalasi baru. Tidak ada kemungkinan itu tidak mengeluh karena telah mengunduh sertifikat perantara selama kunjungan sebelumnya ke situs yang menggunakan rantai yang sama .
Jawaban:
Jika rantai cukup tergantung pada toko CA klien. Sepertinya Firefox dan Google Chrome telah menyertakan sertifikat untuk "COMODO RSA Certification Authority" akhir 2014. Untuk Internet Explorer mungkin tergantung pada OS yang mendasarinya. CA mungkin belum dimasukkan dalam toko kepercayaan yang digunakan oleh non-browser, yaitu crawler, aplikasi seluler, dll.
Bagaimanapun rantai tidak sepenuhnya benar, seperti dapat dilihat dari laporan SSLLabs :
sumber
Saya menghubungi Comodo dan mengunduh file bundle.crt dari mereka. Saya menamainya menjadi ssl.ca, sesuai pengaturan server ini, dan sekarang cert melewati semua tes. The
Chain issues = Contains anchor
pemberitahuan tidak masalah (lihat di bawah).SSL Labs, secara luas dianggap sebagai tes paling lengkap, sekarang menunjukkan
Chain issues = Contains anchor
, sedangkan sebelumnya digunakan untuk menunjukkanChain issues = None
(sedangkan yang lain menunjukkan masalah dengan rantai). Ini benar-benar bukan masalah ( 1 , 2 ), selain dari tambahan 1kB yang dikirimkan server ke klien.Kesimpulan saya
Abaikan uji Lab SSL yang bertuliskan
Chain issues = Contains anchor
ATAU hapus sertifikat root dari file bundel (lihat komentar di bawah ini).Selalu jalankan pengujian sekunder pada setidaknya satu dari tiga lokasi pengujian lainnya ( 1 , 2 , 3 ) untuk memastikan rantai Anda benar-benar baik ketika SSL Labs mengatakan
Chain issues = None
.sumber
02faf3e291435468607857694df5e45b68851868
yang tidak perlu.openssl x509 -fingerprint -in ssl.ca
i nailed bahwa bagian dari file yang memiliki sidik jari02faf3e291435468607857694df5e45b68851868
adalah PEM pertama. Saya menghapusnya, dan sekarang saya mendapatkan i.imgur.com/1iG2UCz.png dan i.imgur.com/m8gYbdG.png (OCSP ERROR: Permintaan gagal dengan status OCSP: 6 [ ocsp.comodoca.com] )