it-swarm.com.de

Ist diese SSL-Zertifikatskette unterbrochen und wie kann sie behoben werden?

Für das SSL-Zertifikat in der Domain example.com haben einige Tests ergeben, dass die Kette unvollständig ist. Da Firefox seinen eigenen Zertifikatspeicher verwaltet, kann dies unter Mozilla ( 1 , 2 , 3 ). Andere sagen mir, dass es in Ordnung ist , ebenso wie Firefox 36, das mir sagt, dass die Zertifizierungskette in Ordnung ist.

UPDATE: Ich habe auf Opera, Safari, Chrome und IE unter Windows XP und MacOS X Snow Leopard, sie) getestet Alle funktionieren einwandfrei. Es schlägt nur unter Firefox <36 unter beiden Betriebssystemen fehl. Ich habe keinen Zugriff auf Tests unter Linux, aber für diese Website sind es weniger als 1% der Besucher, und die meisten sind wahrscheinlich Bots. Dies beantwortet also die ursprünglichen Fragen "Zeigt dieses Setup Warnungen in Mozilla Firefox an oder nicht" und "Ist diese SSL-Zertifikatkette unterbrochen oder nicht?".

Daher lautet die Frage , wie ich herausfinde, welche Zertifikate ich in die Datei ssl.ca einfügen muss, damit sie von Apache bereitgestellt werden können, damit Firefox <36 nicht erstickt.

PS: Als Randnotiz war der Firefox 36, mit dem ich das Zertifikat getestet habe, eine brandneue Installation. Es besteht keine Möglichkeit, dass es sich nicht beschwert hat, da es während eines vorherigen Besuchs auf einer Site, die dieselbe Kette verwendet , ein Zwischenzertifikat heruntergeladen hat.

13
Gaia

Ich habe Comodo kontaktiert und eine bundle.crt-Datei von ihnen heruntergeladen. Ich habe es gemäß dem Setup dieses Servers in ssl.ca umbenannt, und jetzt besteht das Zertifikat alle Tests. Das Chain issues = Contains anchor Hinweis ist kein Problem (siehe unten).

SSL Labs, weithin als der vollständigste Test angesehen, zeigt nun Chain issues = Contains anchor, während zuvor Chain issues = None (während die anderen ein Problem mit der Kette zeigten). Dies ist wirklich kein Problem ( 1 , 2 ), abgesehen von zusätzlichen 1 KB, die der Server an den Client sendet.

Meine Schlussfolgerung

  1. Ignorieren Sie den SSL Labs Test, bei dem Chain issues = Contains anchor OR Entfernen Sie das Stammzertifikat aus der Bundle-Datei (siehe diesen Kommentar unten).

  2. Führen Sie immer einen Sekundärtest an mindestens einer der anderen drei Teststellen durch ( 1 , 2 , ), um sicherzustellen, dass Ihre Kette wirklich in Ordnung ist wenn SSL Labs sagt Chain issues = None.

8
Gaia

Ob die Kette ausreicht, hängt vom CA-Speicher des Clients ab. Es sieht so aus, als hätten Firefox und Google Chrome das Zertifikat für "COMODO RSA Certification Authority" Ende 2014 aufgenommen. Für Internet Explorer hängt es wahrscheinlich vom zugrunde liegenden Betriebssystem ab. Die Zertifizierungsstelle ist möglicherweise noch nicht enthalten Trust Stores, die von Nicht-Browsern verwendet werden, z. B. Crawler, mobile Anwendungen usw.

In jedem Fall ist die Kette nicht vollständig korrekt, wie aus dem SSLLabs-Bericht ersichtlich ist:

  • Ein Vertrauenspfad erfordert, dass die neue Zertifizierungsstelle vom Browser als vertrauenswürdig eingestuft wird. In diesem Fall versenden Sie immer noch die neue Zertifizierungsstelle, was falsch ist, da vertrauenswürdige Zertifizierungsstellen integriert und nicht in der Kette enthalten sein müssen.
  • Der andere Vertrauenspfad ist unvollständig, d. H. Er benötigt einen zusätzlichen Download. Einige Browser wie Google Chrome führen diesen Download durch, während andere Browser und Nicht-Browser erwarten, dass alle erforderlichen Zertifikate in der Lieferkette enthalten sind. Daher haben die meisten Browser und Anwendungen keine neue Zertifizierungsstelle erstellt -in wird mit dieser Seite fehlschlagen.
8
Steffen Ullrich