web-dev-qa-db-fra.com

Cette chaîne de certificats SSL est-elle cassée et comment y remédier?

Pour le certificat SSL sur le domaine example.com, certains tests me disent que la chaîne est incomplète et puisque Firefox conserve son propre magasin de certificats, il peut échouer sur Mozilla ( 1 , 2 , ). D'autres me disent que c'est bien , tout comme Firefox 36, qui me dit que la chaîne de certificats est correcte.

MISE À JOUR: J'ai testé sur Opera, Safari, Chrome et IE sur les deux Windows XP et MacOS X Snow Leopard, ils tout fonctionne bien. Il échoue uniquement sur Firefox <36 sur les deux systèmes d'exploitation. Je n'ai pas accès aux tests sous Linux, mais pour ce site, il représente moins de 1% des visiteurs, et la plupart sont probablement des bots. Donc, cela répond aux questions originales "Cette configuration affiche-t-elle ou non des avertissements dans Mozilla Firefox" et "Cette chaîne de certificats SSL est-elle cassée ou non?".

Par conséquent, la question est comment puis-je savoir quels certificats dois-je placer dans le fichier ssl.ca afin qu'ils puissent être servis par Apache pour empêcher Firefox <36 de s'étouffer?

PS: En remarque, le Firefox 36 que j'ai utilisé pour tester le certificat était une toute nouvelle installation. Il n'y a aucune chance qu'il ne se soit pas plaint car il avait téléchargé un certificat intermédiaire lors d'une précédente visite sur un site utilisant la même chaîne .

13
Gaia

J'ai contacté Comodo et téléchargé un fichier bundle.crt à partir d'eux. Je l'ai renommé ssl.ca, conformément à la configuration de ce serveur, et maintenant le certificat réussit tous les tests. Le Chain issues = Contains anchor l'avis n'est pas un problème (voir ci-dessous).

SSL Labs, largement considéré comme le test le plus complet, affiche désormais Chain issues = Contains anchor, alors qu'auparavant il montrait Chain issues = None (tandis que les autres ont montré un problème avec la chaîne). Ce n'est vraiment pas un problème ( 1 , 2 ), à part 1 Ko supplémentaire que le serveur envoie au client.

Ma conclusion

  1. Ignorez le test SSL Labs où il est indiqué Chain issues = Contains anchor OR supprimez le certificat racine du fichier de bundle (voir ce commentaire ci-dessous).

  2. Exécutez toujours un test secondaire sur au moins l'un des trois autres sites de test ( 1 , 2 , ) pour vous assurer que votre chaîne est vraiment correcte. quand SSL Labs dit Chain issues = None.

8
Gaia

Si la chaîne est suffisante, cela dépend du magasin CA du client. Il semble que Firefox et Google Chrome ont inclus le certificat pour "COMODO RSA Certification Authority" fin 2014. Pour Internet Explorer, cela dépend probablement du système d'exploitation sous-jacent. L'autorité de certification peut ne pas encore être incluse dans les magasins de confiance utilisés par les non-navigateurs, c'est-à-dire les robots d'exploration, les applications mobiles, etc.

Dans tous les cas, la chaîne n'est pas entièrement correcte, comme le montre le rapport SSLLabs :

  • Un chemin d'approbation nécessite que la nouvelle autorité de certification soit approuvée par le navigateur. Dans ce cas, vous expédiez toujours la nouvelle autorité de certification, ce qui est faux, car les autorités de certification de confiance doivent être intégrées et non contenues dans la chaîne.
  • L'autre chemin de confiance est incomplet, c'est-à-dire qu'il a besoin d'un téléchargement supplémentaire. Certains navigateurs comme Google Chrome font ce téléchargement, tandis que d'autres navigateurs et non-navigateurs s'attendent à ce que tous les certificats nécessaires soient contenus dans la chaîne livrée. Ainsi, la plupart des navigateurs et applications qui n'ont pas la nouvelle autorité de certification sont construits -in échouera avec ce site.
8
Steffen Ullrich