Je plonge simplement mes orteils dans l'eau avec des certificats SSL et j'ai décidé d'essayer l'offre gratuite de Cloudflare ...
J'essaie de sécuriser un sous-domaine hébergeant des mosaïques de cartes localement dans le pays pour des raisons de performances. Pour cette même raison, je ne souhaite pas acheminer le trafic des sous-domaines via Cloudflare car cela entraînerait une latence accrue.
J'ai généré un certificat via Cloudflare et je l'ai activé sur mon site via le panneau de contrôle de Plesk fourni par le fournisseur d'hébergement.
Tout semble indiquer que cela fonctionne du côté du panneau d'administration Plesk, mais lorsque je demande une URL avec le préfixe https à partir d'un navigateur Web, il se plaint que la connexion n'est pas sécurisée - NET :: ERR_CERT_AUTHORITY_INVALID. Et approfondir dans les détails donne ce message: "L'émetteur de ce certificat n'a pas pu être trouvé."
Une URL à des fins de test: https://static.topomap.co.nz/tiles-topo250-20160901/8-252-97.png
Utilisation d'un vérificateur SSL en ligne - https://www.sslshopper.com/ssl-checker.html#hostname=static.topomap.co.nz - il m'informe que:
Le certificat n'est pas approuvé dans tous les navigateurs Web. Vous devrez peut-être installer un certificat intermédiaire/chaîne pour le lier à un certificat racine approuvé.
Des idées comment je peux résoudre ce problème? Ou est-ce une lacune des certificats SSL gratuits fournis par Cloudflare?
Je n'ai aucune information d'utilisateur sensible qui va et vient. La seule raison pour laquelle j'ai besoin de SSL est pour les sites tiers sécurisés utilisant des cartes intégrées à partir de mon service. Je dois les utiliser via SSL pour empêcher les navigateurs Web de se plaindre.
J'ai trouvé la réponse ici: https://support.cloudflare.com/hc/en-us/articles/200170566-Why-isn-t-SSL-working-for-my-site-
Votre domaine/sous-domaine n'est pas actif sur le réseau de Cloudflare
Le SSL de Cloudflare ne sera présent pour les visiteurs de votre site Web que si vous avez validé les certificats SSL de votre enregistrement racine ou www DNS en nuançant en orange ces enregistrements dans votre tableau de bord. Si l'enregistrement DNS est gris, alors les certificats SSL émis par Cloudflare ne seront pas présents.
On dirait que je ne peux pas utiliser le certificat SSL sans acheminer le trafic du sous-domaine via Cloudflare, ce qui n'est pas souhaitable dans ce cas en raison de la latence accrue. J'ai fait un test rapide et cela a en effet résolu le problème de SSL rencontré.
Votre erreur d'autorité de certification non valide est due au fait que CloudFlare l'a publiée, et non à la manière dont vous avez routé le trafic. En effet, vous avez utilisé un type de certificat destiné uniquement à sécuriser la communication entre votre serveur Origin et le réseau CloudFlare. Il est émis via ce qu'ils appellent leur "Autorité de certification d'origine" expliquée ici .
Lorsque vous utilisez le protocole "Universal SSL" de CloudFlare, ils créent un certificat émanant d'une autorité de certification légitime, approuvée par la plupart des navigateurs, et diffusent le contenu de votre site Web à partir de leurs serveurs à l'aide de ce certificat réel.
N'oubliez pas que pour le chiffrement TLS de bout en bout, vous ne pouvez pas utiliser CloudFlare car ils ont accès au trafic déchiffré après l'avoir reçu de votre origine mais avant. -cryptez-le pour leur CDN. Ils sont littéralement en train de contrôler votre trafic crypté. C'est acceptable si vous en êtes conscient et que vous choisissez de l'utiliser de toute façon, mais vous devez savoir que cela se produit.
Pour une explication plus complète, voir ce site Web décrivant le problème plus en détail. Ce n'est pas le site le plus joli, mais leurs arguments techniques sont irréfutables.