Почему Android Chrome сообщает, что сертификат безопасности моего сайта не является доверенным?

14

Мой сайт https://blendbee.com . Используется действующий сертификат PositiveSSL.

В Windows 8 Chrome сертификат в порядке (зеленый замок в левом верхнем углу).

Но ... на моем Android это не так хорошо. Снимок экрана: http://postimg.org/image/6vc64lr1d/

Есть идеи почему?

Сервер работает под управлением Ubuntu 13.10 на Digital Ocean.

Kane
источник
IIRC, некоторым сертификатам Comodo не доверяют в старых версиях Android (2.x).
ceejayoz
1
Воспроизведено на KitKat 4.4.4. Так что дело не в старом Android.
Майкл Хэмптон
2
Да, это было на моем Samsung Galaxy S5
Кейн

Ответы:

16

Вам нужно предоставить всю цепочку сертификатов, чтобы она отображалась как доверенная.

Вот ссылка, которую я получил для инструкций comodo по установке цепочки сертификатов в apache: https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/637/37/certificate-installation-apache-- mod_ssl

Я получил это от http://www.sslshopper.com/ssl-checker.html#hostname=blendbee.com , который пометил ваш сертификат как не доверяющий всем браузерам из-за неполной цепочки.

austinian
источник
1
Как примечание, если вы получаете кучу файлов .crt, но не связываете, вам, возможно, придется создать свой собственный файл комплекта, как я сделал для моего comodo cert: support.comodo.com/index.php?/Knowledgebase/Article/View /
643/0
4

Сертификат может содержать специальное расширение доступа к информации о полномочиях ( RFC-3280 ) с URL-адресом сертификата эмитента. Большинство браузеров могут использовать расширение AIA для загрузки отсутствующего промежуточного сертификата для завершения цепочки сертификатов. Но некоторые клиенты (мобильные браузеры, OpenSSL) не поддерживают это расширение, поэтому сообщают о таком сертификате как о ненадежном.

Вы можете решить проблему неполной цепочки сертификатов вручную, объединив все сертификаты от сертификата до доверенного корневого сертификата (исключительно в этом порядке), чтобы предотвратить такие проблемы. Обратите внимание, что доверенный корневой сертификат не должен быть там, так как он уже включен в хранилище корневых сертификатов системы.

Вы должны быть в состоянии получить промежуточные сертификаты от эмитента и объединить их вместе самостоятельно. Я написал сценарий для автоматизации процедуры, он зацикливается на расширении AIA для получения правильных цепочек сертификатов. https://github.com/zakjan/cert-chain-resolver

zakjan
источник
-1

Chrome не доверяет ни корневому, ни промежуточному сертификату, который, как мне кажется, использует собственный набор CA для Android. Этот набор можно просмотреть с settings->security->Trusted credentials.

Этот вопрос над рекламой android.se может помочь в дальнейшем.

84104
источник
Корневой сертификат. был в магазине доверия, но не промежуточный сертификат. Сертификат. цепочка, содержащая все промежуточные звенья, не была включена, и клиент не поднимался по цепочке, используя расширение доступа к информации о полномочиях (возможно, потому что информация не была включена в сертификат. как представлено сервером), чтобы увидеть, привела ли цепочка к доверенному CA.
австралийца