Sertifikat SSL: pesanan salah

1

Saya memiliki sertifikat SSL EV untuk https://goout.cz . Menurut tes ini kami mendapatkan A +:

https://www.ssllabs.com/ssltest/analyze.html?viaform=on&d=goout.cz

Namun saya mendapat peringatan untuk "Urutan salah, Berisi Jangkar".

Tapi tes ini: https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp

Mengatakan: Sertifikat tidak diinstal dengan benar.

Sejauh ini saya tidak dapat menemukan masalah. Saya pikir saya mungkin telah salah menggabungkan sertifikat utama dan menengah, tetapi saya memeriksa bahwa sertifikat utama adalah yang pertama dan kemudian sertifikat perantara mengikuti.

Terima kasih.

Vojtěch
sumber

Jawaban:

3

File Anda harus berisi

  1. Sertifikat Anda
  2. Sertifikat perantara yang menandatangani sertifikat Anda
  3. Sertifikat perantara lainnya, secara berurutan

File Anda TIDAK boleh berisi sertifikat root.

Dengan kata lain:

  • Subjek Cert 0 seharusnya adalah Anda
  • Penerbit Cert 0 harus sama dengan subjek cert 1
  • Penerbit Cert 1 harus sama dengan subjek cert 2
  • ...
  • Penerbit Cert harus sama dengan subjek root
  • Penerbit root harus secara definisi sama dengan subjeknya (jika tidak, itu bukan sertifikat root).

Apakah Anda menggunakan linux dengan openssl? Jika demikian saya dapat memberikan skrip untuk memeriksa ini.

Saya baru saja terhubung ke situs Anda menggunakan

$ openssl s_client -showcerts -connect goout.cz:443 2> /dev/null | grep ' [0-9 ] [is]:'
 0 s:/serialNumber=01901613/jurisdictionC=CZ/jurisdictionST=Prague/jurisdictionL=Prague 3/businessCategory=Private Organization/C=CZ/postalCode=130 00/ST=Prague/L=Prague 3/street=Husinecka 792/25/O=GoOut s.r.o./OU=Technical/OU=COMODO EV SSL/CN=goout.cz
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Extended Validation Secure Server CA
 1 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
 2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
 3 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Extended Validation Secure Server CA
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
^C

Tampaknya Anda memiliki file dengan empat sertifikat, dan untuk mendapatkan skor sempurna, Anda harus menghapus yang kedua dan menukar yang terakhir.

Hukum29
sumber
Terima kasih atas penjelasannya, ini masuk akal! Apakah Anda tahu mengapa mereka menempatkan sertifikat kedua (yang saya hapus atas saran Anda) di set sertifikat Menengah sedangkan seharusnya tidak ada di sana? Bagaimanapun, cryptoreport sekarang benar, tetapi ssllab masih mengatakan urutan yang salah: /
Vojtěch
Saya pikir itu hanya masalah cache; Saya baru saja melakukan tes ssllab di situs Anda dan tidak ada yang "salah" sama sekali, Anda memiliki nilai A + :) Adapun root cert di perantara. . . tidak ada ide!
Law29